JAKARTA – Kaspersky mendeteksi serangkaian serangan kompleks yang melibatkan pengambilan informasi dari layanan seperti GitHub, Microsoft Learn Challenge, Quora, dan jejaring sosial.
Serangan tersebut terdeteksi pada paruh kedua tahun 2024 di berbagai organisasi di China, Jepang, Malaysia, Peru, dan Rusia, dan berlanjut hingga tahun 2025, dengan mayoritas korban perusahaan besar hingga menengah.
Untuk menyusup ke perangkat korban, para penyerang mengirimkan email spear phishing yang disamarkan sebagai komunikasi sah dari perusahaan-perusahaan besar milik negara, khususnya di sektor minyak dan gas.
Teks tersebut dirangkai sedemikian rupa sehingga tampak seperti ada minat terhadap produk dan layanan organisasi korban untuk meyakinkan penerima agar membuka lampiran berbahaya dalam bentuk PDF yang berisikan malware.
Para penyerang memanfaatkan teknik pembajakan DLL dan mengeksploitasi Crash Reporting Send Utility sah, yang awalnya dirancang untuk membantu pengembang mendapatkan laporan kerusakan yang terperinci dan real-time untuk aplikasi mereka.
Agar berfungsi, malware ini juga mengambil dan mengunduh kode yang disimpan di profil publik pada platform populer yang sah untuk menghindari deteksi.
Kaspersky menemukan kode ini terenkripsi di dalam profil di GitHub, Microsoft Learn Challenge, situs web Tanya Jawab, dan bahkan platform media sosial Rusia. Semua profil dan halaman ini dibuat khusus untuk serangan ini.
Setelah kode berbahaya dieksekusi pada mesin korban, Cobalt Strike Beacon diluncurkan, dan sistem korban pun terinfeksi.
“Meskipun kami tidak menemukan bukti penyerang menggunakan profil media sosial orang sungguhan, karena semua akun dibuat khusus untuk serangan ini, tidak ada yang menghentikan pelaku ancaman untuk menyalahgunakan berbagai mekanisme yang tersedia di platform ini,” ujar Maxim Starodubov, Kepala Tim Analis Malware di Kaspersky.
Ia juga menekankan pentingnya untuk selalu mengikuti perkembangan intelijen ancaman terbaru agar terlindungi dari serangan semacam itu.