Sulit Dideteksi, Begini Cara Malware Coinminer Beraksi

Kemampuan malware penambangan kripto semakin canggih, demikian diungkapkan oleh Janus Agcaoili dan  Gilbert Sison, peneliti keamanan siber di Trend Micro, sebagaimana yang dilansir dari CCN, Minggu (11/11).

Menurut peneliti, malware yang paling menonjol adalah Coinminer.Win32.MALXMR.TIAOODAM. Malware itu diketahui mampu tak terdeteksi oleh antivirus secara realtime, karena bersalinrupa layaknya peranti lunak untuk Windows yang sah. Malware juga menggunakan teknik lainnya untuk mengelabui antivirus.

Menurut peneliti itu, malware terdeteksi memasang dirinya sendiri di folder %AppData%\Roaming\Microsoft\Windows\Template\FileZilla Server. Filezilla adalah peranti lunak popular untuk mentransfer file di Internet. Biasanya peranti lunak ini mempermudah pengguna mengakses peladen (server) tanpa melalui peramban (browser). Jika folder Filezilla tidak ada, maka malware itu akan membuatnya secara otomatis.

Di antara file yang ada di folder tersebut terdapat satu skrip yang bertugas khusus untuk memadamkan proses anti-malware yang mungkin sedang berjalan. Menurut peneliti, pembuat malware benar-benar mempertimbangkan teknik untuk menghindari deteksi antivirus secara terukur.

Satu hal yang menarik adalah, installer file yang digunakan menggunakan huruf Cyrillic, huruf yang lazim digunakan oleh negara-negara di Eropa Timur atau tempat lain.

Setelah proses pemasangan selesai, malware kemudian membuat tiga Service Host Process. Beberapa di antaranya digunakan untuk mengunduh ulang malware, jikalau Service Host itu dipadamkan.

“Service Host Process pertama dan kedua berperan sebagai ‘pengawas’ yang biasanya tak terlalu aktif. Kedua-duanya akan mengunduh file Windows Installer (.msi) melalui Powershell command jikalau ketika Service Host Process dipadamkan,” jelas Janus Agcaoili dan  Gilbert Sison dalam blog-nya.

Malware itu juga mampu menghancurkan dirinya sendiri (self-destruct) yang bertujuan untuk memastikan deteksi dan analisis semakin susah dilakukan. Caranya adalah dengan menghapus semua file yang ada di dalam folder tersebut, termasuk jejak-jejak pemasangan peranti lunaknya.

Sejumlah studi mengungkapkan, aktifitas cryptojacking semakin meningkat. Pada September 2018 lalu, Cyber Threat Alliance memperkirakan cryptojacking akan mekar hingga 459 persen pada tahun ini. Pada awal tahun ini, Kaspersky Labs mengatakan, serangan ransomware justru berkurang dan digantikan dengan cryptojacking, karena dianggap lebih menguntungkan. [vins]

Terkini

Warta Korporat

Terkait