Teknogav.com – Tren membaca ebook telah dimanfaatkan penjahat siber untuk melancarkan aksinya. Pembaca ebook di Bangladesh, Jerman, Mesir dan Turki  menjadi sasaran dari kampanye malware-as-a-service (MaaS). Tim Riset & Analisis Global (Global Research & Analysus Team/GReAT) Kaspersky mengungkap bahwa kampanye tersebut telah menipu ratusan pembaca. Kampanye tersebut menyamarkan malware canggih sebagai buku-buku terlaris berbahasa Arab dan Turki untuk mengelabui korbannya. Penjahat siber tersebut bertujuan untuk mencuri kata sandi, dompet aset kripto dan informasi sensitif lain dari komputer.

Kampanye MaaS diidentifikasi peneliti GReAT menggunakan LazyGo, loader berbasis Go yang baru ditemukan dengan modus mengirimkan beberapa program pencuri informasi. Sasaran kampanye ini adalah pengguna yang mencari judul-judul populer. Salah satu judul tersebut adalah "The Thirty-Nine Steps" karya John Buchan dalam bahasa Turki. Selain itu, juga ada teks-teks Arab mengenai puisi, cerita rakyat, cuaca, dan praktik keagamaan.

Baca juga: Malware Qbot Gencar Serang Email Perusahaan dengan PDF Berbahaya 

File-file berbahaya tersebut menyamar sebagai ebook PDF dengan ikon PDF, tetapi sebenarnya adalah program yang bisa dieksekusi. Ketika file tersebut diunduh dan dibuka, maka loader LazyGo menyebarkan infostealer termasuk StealC, Vidar, dan ArechClient2. Para peneliti Kaspersky mengidentifikasi tiga varian LazyGo, yang masing-masing menggunakan teknik untuk menghindari pendeteksian yang berbeda. Beberapa teknik tersebut mencakup pelepasan API, bypass AMSI, penonaktifan ETW, dan deteksi anti-mesin virtual.

Berikut ini adalah informasi yang ingin dicuri oleh infostealer tersebut:

• Data browser: Kata sandi tersimpan, cookie, informasi pengisian otomatis, dan riwayat penelusuran dari Chrome, Edge, Firefox, dan peramban lainnya
• Aset keuangan: Ekstensi dompet aset kripto, file konfigurasi, dan data penyimpanan
• Kredensial pengembang: Kredensial AWS, token Azure CLI, dan token Microsoft Identity Platform
• Platform komunikasi: Token Discord, data Telegram Desktop, dan file sesi Steam
• Informasi sistem: Spesifikasi perangkat keras, perangkat lunak yang terinstal, dan proses yang berjalan

Baca juga: Incar Perbankan dan Aset Kripto, Ini Modus Trojan Zanubis

Para korban yang terinfeksi ArechClient2/SectopRAT menghadapi risiko tambahan karena penyerang mendapatkan kendali jarak jauh sepenuhnya atas mesin yang disusupi. Telemetri Kaspersky menunjukkan tingkat infeksi yang tinggi di Turki, Bangladesh, Mesir, dan Jerman. Infeksi tersebut memengaruhi lembaga pemerintah, lembaga pendidikan, layanan TI, dan sektor lainnya. Kampanye ini tetap aktif dengan pelaku ancaman yang terus mengunggah ebook berbahaya baru ke GitHub dan situs web yang disusupi.

"Hal yang membuat kampanye ini sangat mengkhawatirkan adalah penggunaan model malware-as-a-service yang dikombinasikan dengan rekayasa sosial yang sangat tertarget. Berbagai varian loader LazyGo dan teknik penghindaran canggih menunjukkan bahwa ini bukan kejahatan siber oportunistik – ini adalah operasi terstruktur yang dirancang untuk mengumpulkan kredensial dalam skala besar. Organisasi harus sangat waspada karena token pengembang dan kredensial cloud yang dicuri dapat memberi penyerang akses mendalam ke infrastruktur perusahaan," kata Yossef Abdelmonem, Peneliti Keamanan Senior di Kaspersky GReAT. 

Baca juga: Tips Kaspersky agar Tetap Aman dari Ancaman Siber Penipuan Phishing

Segmen sasaran ebook palsu tersebut berusaha memikat berbagai minat. Ebook tersebut bahkan menyamar sebagaibteks manajemen bisnis Turki seperti "İşletme Yöneticiliği" karya Tamer Koçel. Selain itu, juga ada fiksi kontemporer, dan kritik sastra Arab seperti "Gerakan Sastra dan Linguistik di Kesultanan Oman".

Kaspersky menyerankan untuk melakukan verifikasi sumber sebelum mengunduh. Periksa juga file dengan teliti dan perbarui perangkat lunak keamanan yang dapat mendeteksi teknnik malware yang sulit dideteksi. Ketika memilih solusi keamanan, sebaiknya pilih solusi dengan kemampuan anti-malware kuat yang sudah melakukan valifasi melalui pengujian independen. Evaluasi terkini AV-Comparative menunjukkan bahwa Kaspersky Premium memiliki kinerja kuat dengan tingkat pterlindungan malware 99,99% pada pengumpulan koleksi uji 9.995 file. Nilai tersebut membuktikan pertahanan yang tinggi terhadap perangkat lunak berbahaya.