Sebuah perangkat lunak berbahaya (malware) yang sangat kuat telah menyamar sebagai penambang kriptokurensi yang mampu menghindari deteksi selama lebih dari lima tahun, menurut penyedia antivirus Kaspersky.
Malware yang disebut “StripedFly” ini telah menginfeksi lebih dari 1 juta komputer Windows dan Linux di seluruh dunia sejak tahun 2016, demikian kata Kaspersky dalam laporan yang dirilis pada Kamis (26/10/2023).
Malware Menjangkiti Jutaan PC
Peneliti keamanan perusahaan tersebut mulai menyelidiki ancaman ini tahun lalu ketika mereka melihat produk antivirus Kaspersky mendeteksi dua infeksi dalam WINNIT.exe, yang membantu OS Windows menyala.
Deteksi tersebut kemudian melacak StripedFly, yang awalnya diklasifikasikan sebagai penambang kriptokurensi.
Namun setelah pemeriksaan lebih lanjut, peneliti Kaspersky menyadari bahwa penambang ini hanya satu komponen dari malware yang jauh lebih kompleks yang mengadopsi teknik yang diduga berasal dari Badan Keamanan Nasional Amerika Serikat, dikutip dari PCMag.
Secara khusus, StripedFly mencakup versi EternalBlue, yang merupakan malware yang dikembangkan oleh NSA, yang kemudian bocor dan digunakan dalam serangan ransomware WannaCry untuk menginfeksi ratusan ribu mesin Windows pada tahun 2017.
Menurut Kaspersky, StripedFly menggunakan serangan EternalBlue secara khusus untuk menyusup ke sistem Windows yang belum diperbaiki dan menyebar secara diam-diam di jaringan korban, termasuk OS Linux.
Malware ini kemudian dapat mengumpulkan data sensitif dari komputer yang terinfeksi, seperti kredensial login dan data pribadi.
“Selain itu, malware ini dapat mengambil tangkapan layar pada perangkat korban tanpa terdeteksi, mendapatkan kendali signifikan atas mesin, dan bahkan merekam masukan mikrofon,” tambah peneliti keamanan perusahaan tersebut.
Untuk menghindari deteksi, para pencipta di balik StripedFly menggunakan metode baru dengan menambahkan modul penambangan kriptokurensi untuk mencegah sistem antivirus menemukan malware tersebut.
“Secara berkala, fungsionalitas malware dalam modul utama memantau proses penambangan boneka dan menghidupkannya kembali jika diperlukan,” tambah Kaspersky.
“Ini juga dengan setia melaporkan hash rate, waktu kerja, nonce yang ditemukan, dan statistik kesalahan ke server C2,” ujarnya.
Belum jelas siapa yang mengembangkan StripedFly. Meskipun malware ini mengandung serangan yang berasal dari NSA, program EternalBlue agensi itu bocor ke publik pada bulan April 2017 melalui kelompok misterius yang dikenal sebagai Shadow Brokers.
Setahun sebelum terjadi kebocoran, para peretas Tiongkok yang dicurigai juga terlihat menggunakan EternalBlue.
Sementara itu, Kaspersky mencatat bahwa deteksi pertama StripedFly kembali pada tanggal 9 April 2016.
Di atas semua itu, versi StripedFly digunakan dalam serangan ransomware yang disebut ThunderCrypt, yang membuat tujuan akhir malware menjadi kurang jelas.
Pada akhirnya, tampaknya malware ini mencapai tujuannya. Meskipun Microsoft merilis perbaikan untuk EternalBlue pada bulan Maret 2017, banyak sistem Windows yang gagal menginstalnya, sehingga memungkinkan StripedFly untuk memanfaatkan hal tersebut.
“Diciptakan cukup lama pada beberapa tahun lalu, StripedFly tanpa ragu telah mencapai tujuannya dengan sukses menghindari deteksi selama bertahun-tahun,” tambah Kaspersky.
“Banyak perangkat lunak berbahaya berprofil tinggi dan canggih telah diselidiki, tetapi satu ini menonjol dan benar-benar pantas mendapat perhatian dan pengakuan,” ujarnya. [az]