koranindopos.com, JAKARTA – Penjahat siber kembali memanfaatkan kelengahan pengguna internet dengan menyebarkan file berbahaya yang menyamar sebagai e-book PDF. Tim Riset & Analisis Global (Global Research & Analysis Team/GReAT) Kaspersky mengungkap adanya kampanye malware-as-a-service (MaaS) yang secara khusus menargetkan pembaca e-book di sejumlah negara, termasuk Turki, Mesir, Bangladesh, dan Jerman.
Dalam kampanye ini, pelaku kejahatan siber menyamarkan malware canggih sebagai buku-buku terlaris berbahasa Turki dan Arab. Modus tersebut berhasil menipu ratusan korban untuk mengunduh file berbahaya yang mampu mencuri kata sandi, dompet aset kripto, hingga berbagai informasi sensitif dari komputer korban.
Peneliti Kaspersky menemukan bahwa kampanye ini menggunakan LazyGo, sebuah loader berbasis bahasa pemrograman Go yang baru teridentifikasi. LazyGo berfungsi sebagai pintu masuk untuk menyebarkan berbagai program pencuri data (infostealer), seperti StealC, Vidar, dan ArechClient2. Target serangan meliputi pengguna yang mencari judul-judul populer, mulai dari novel klasik “The Thirty-Nine Steps” karya John Buchan dalam bahasa Turki, hingga teks Arab tentang puisi, cerita rakyat, cuaca, dan praktik keagamaan.
Meski tampak seperti file PDF, e-book palsu tersebut sebenarnya adalah file program yang dapat dieksekusi, lengkap dengan ikon PDF untuk mengecoh korban. Saat file dibuka, LazyGo akan langsung aktif dan menyebarkan malware. Kaspersky mengidentifikasi sedikitnya tiga varian LazyGo yang menggunakan teknik penghindaran canggih, seperti pelepasan API, bypass AMSI, penonaktifan ETW, serta deteksi anti-mesin virtual.
Data yang dicuri oleh malware ini sangat beragam, antara lain:
-
Data browser, seperti kata sandi tersimpan, cookie, data pengisian otomatis, dan riwayat penelusuran
-
Aset keuangan, termasuk ekstensi dompet kripto dan data penyimpanan
-
Kredensial pengembang, seperti AWS credentials, token Azure CLI, dan Microsoft Identity Platform
-
Platform komunikasi, termasuk token Discord, data Telegram Desktop, dan sesi Steam
-
Informasi sistem, seperti spesifikasi perangkat, perangkat lunak terinstal, dan proses yang berjalan
Korban yang terinfeksi ArechClient2/SectopRAT menghadapi risiko yang lebih serius, karena penyerang dapat memperoleh kendali jarak jauh penuh atas perangkat yang terinfeksi.
Berdasarkan telemetri Kaspersky, tingkat infeksi tertinggi tercatat di Turki, Bangladesh, Mesir, dan Jerman, dengan korban berasal dari berbagai sektor, mulai dari lembaga pemerintah, institusi pendidikan, hingga layanan teknologi informasi. Kampanye ini masih aktif, dengan pelaku terus mengunggah e-book berbahaya ke platform seperti GitHub dan sejumlah situs web yang telah disusupi.
“Yang membuat kampanye ini sangat mengkhawatirkan adalah kombinasi model malware-as-a-service dengan rekayasa sosial yang sangat tertarget,” ujar Yossef Abdelmonem, Peneliti Keamanan Senior di Kaspersky GReAT. Ia menegaskan bahwa pencurian token pengembang dan kredensial cloud dapat membuka akses mendalam ke infrastruktur perusahaan.
E-book palsu yang digunakan dalam kampanye ini mencakup berbagai topik, mulai dari buku manajemen bisnis Turki seperti “İşletme Yöneticiliği” karya Tamer Koçel, hingga fiksi kontemporer dan kritik sastra Arab seperti “Gerakan Sastra dan Linguistik di Kesultanan Oman.”
Sebagai langkah pencegahan, Kaspersky mengimbau pengguna untuk selalu memverifikasi sumber e-book sebelum mengunduh, memeriksa properti file dengan cermat, serta menggunakan dan memperbarui solusi keamanan yang mampu mendeteksi teknik malware canggih. Pengguna juga disarankan memilih solusi keamanan dengan tingkat perlindungan tinggi yang telah teruji secara independen, guna meminimalkan risiko menjadi korban kejahatan siber. (rls/sh)
