in

Malware Berteknologi Blockchain, Supaya Susah Ditangkap


Jakarta, PCplus – Tim Tanggap Darurat Global (GERT) dan Tim Penelitian dan Analisis Global (GReAT) dari Kaspersky telah mengungkap NKAbuse, malware multiplatform yang baru ditemukan. Malware canggih ini, yang dibuat menggunakan bahasa pemrograman Go, beroperasi melalui komunikasi peer-to-peer blockchain dan memiliki dua fungsi utama: sebagai flooder dan backdoor.

Baca Juga: 4 Ratus Ribu File Berbahaya Menyebar Setiap Hari di Tahun 2023

Baru-baru ini, dalam sebuah insiden keamanan siber, para pakar Kaspersky menemukan bahwa NKAbuse menyalahgunakan teknologi NKN. Ini adalah protokol jaringan yang berbasis blockchain dan peer-to-peer. Ia terkenal akan desentralisasinya dan tingkat privasi yang tinggi. Jaringan Keamanan Kaspersky telah mengidentifikasi bahwa target serangan potensial berada di Kolombia, Meksiko, dan Vietnam.

NKAbuse merupakan implan hibrida yang berperan ganda sebagai Remote Access Trojan (RAT) dan flooder. Kombinasi keduanya membuat NKAbuse menjadi ancaman yang fleksibel dan berbahaya. Sebagai RAT, NKAbuse memungkinkan penyerang untuk mengakses sistem korban secara ilegal. Lalu menjalankan perintah tanpa diketahui, mencuri data, dan memonitor aktivitas.

Kemampuan ini sangat bermanfaat untuk kegiatan spionase dan ekstraksi data. Di sisi lain, dalam kapasitasnya sebagai flooder, malware ini dapat melancarkan serangan DDoS yang merusak. Termasuk membanjiri dan mengacaukan server atau jaringan yang menjadi sasaran, dengan dampak yang signifikan terhadap operasi suatu organisasi.

Punya fitur canggih

Malware NKAbuse yang baru ditemukan memiliki fitur canggih. Termasuk kemampuan untuk mengambil tangkapan layar, mengatur file, mengumpulkan informasi sistem dan jaringan, serta menjalankan perintah sistem. Data yang terkumpul dikirimkan ke botmaster melalui jaringan NKN. Media ini memanfaatkan komunikasi terdesentralisasi untuk menjaga kerahasiaan dan efisiensi.

Proses infiltrasi malware berteknologi blockchain ini diawali dengan eksploitasi kerentanan RCE lama, CVE-2017-5638. Kelemahan ini memungkinkan penyerang untuk mengendalikan sistem yang rentan. Setelah mendapatkan akses, malware tersebut mengunduh implan ke sistem korban, yang semula ditempatkan di direktori sementara untuk dieksekusi. NKAbuse kemudian menciptakan persistensi dengan membuat tugas cron dan menempatkan dirinya di folder home sistem, memastikan operasi yang berkelanjutan.

Penggunaan protokol NKN oleh implan ini menunjukkan strategi komunikasi yang canggih. Ia memungkinkan operasi yang terdesentralisasi dan anonim, serta memanfaatkan teknologi blockchain NKN untuk komunikasi yang efisien dan tersembunyi antara node yang terinfeksi dan server C2. Pendekatan ini membuat deteksi dan mitigasi menjadi lebih sulit. Lisandro Ubiedo, Peneliti Keamanan di GReAT Kaspersky, memberikan pujian kepada Tim Kaspersky GERT atas usaha mereka yang luar biasa dalam mengidentifikasi ancaman canggih ini.

Dibuat dengan bahasa pemrograman Go

Pemilihan bahasa pemrograman Go memfasilitasi kompatibilitas antar-platform, memungkinkan malware NKAbuse untuk menyerang beragam sistem operasi dan arsitektur, termasuk desktop berbasis Linux dan perangkat IoT. Bahasa ini meningkatkan performa implan, terutama dalam aplikasi jaringan, dengan memastikan pemrosesan yang efisien dan simultan. Kemampuan Go dalam menghasilkan biner mandiri juga memudahkan distribusi dan meningkatkan daya tahan. Ini membuat NKAbuse menjadi alat yang kuat untuk menghadapi ancaman keamanan siber.

Semua produk Kaspersky dapat mendeteksi NKAbuse sebagai HEUR:Backdoor.Linux.NKabuse.a. Laporan gabungan dari GERT dan GReAT, yang mencakup indikator kompromi seperti hash MD5 dan file yang dihasilkan oleh malware, dapat diakses di Securelist.com.





Sumber PC PLus