JAKARTA (IndoTelko) Tim Global Research & Analysis Team (GReAT) Kaspersky mengungkap kampanye kejahatan siber berbasis malware-as-a-service (MaaS) yang memanfaatkan e-book palsu untuk menipu pengguna di sejumlah negara, termasuk Turki, Mesir, Bangladesh, dan Jerman.
Kaspersky menyatakan pelaku menyamarkan malware sebagai e-book populer berbahasa Turki dan Arab. File tersebut tampak seperti dokumen PDF, tetapi sebenarnya berisi program berbahaya yang dirancang untuk mencuri kata sandi, dompet aset kripto, serta berbagai data sensitif dari perangkat korban.
Dalam temuannya, peneliti Kaspersky mengidentifikasi penggunaan loader baru bernama LazyGo yang dikembangkan dengan bahasa pemrograman Go. Loader ini berfungsi mengirimkan berbagai infostealer ke sistem korban, seperti StealC, Vidar, dan ArechClient2.
Kaspersky mencatat target serangan mencakup pengguna yang mencari beragam judul e-book, mulai dari novel klasik hingga buku bertema puisi, cerita rakyat, cuaca, dan praktik keagamaan. File berbahaya tersebut menggunakan ikon menyerupai PDF, meski sejatinya merupakan program yang dapat dieksekusi.
Saat file dibuka, LazyGo akan aktif dan menyebarkan malware pencuri data. Kaspersky menemukan sedikitnya tiga varian LazyGo yang dilengkapi teknik penghindaran tingkat lanjut, seperti API unhooking, AMSI bypass, penonaktifan Event Tracing for Windows (ETW), serta deteksi anti-mesin virtual.
Risiko infeksi meningkat pada korban yang terpapar ArechClient2 atau SectopRAT karena malware tersebut memungkinkan penyerang mengambil alih kendali perangkat dari jarak jauh.
Berdasarkan data telemetri Kaspersky, tingkat infeksi tertinggi tercatat di Turki, Bangladesh, Mesir, dan Jerman. Sejumlah sektor terdampak, antara lain instansi pemerintah, lembaga pendidikan, dan penyedia layanan teknologi informasi.
Kaspersky juga menemukan kampanye ini masih berlangsung. Pelaku diketahui terus mengunggah e-book berbahaya ke berbagai platform, termasuk GitHub dan situs web yang telah disusupi.
“Yang membuat kampanye ini sangat berbahaya adalah kombinasi model malware-as-a-service dengan rekayasa sosial yang sangat tertarget,” ujar Senior Security Researcher di Kaspersky GReAT, Yossef Abdelmonem. Ia menambahkan bahwa keragaman varian LazyGo dan teknik penghindaran canggih menunjukkan operasi terstruktur untuk mencuri kredensial dalam skala besar.
Menurut Yossef, token pengembang dan kredensial cloud yang dicuri berpotensi memberikan akses luas ke infrastruktur perusahaan. Adapun e-book palsu yang digunakan mencakup berbagai genre, mulai dari buku manajemen bisnis berbahasa Turki, karya fiksi kontemporer, hingga kritik sastra Arab.
Sebagai langkah pencegahan, Kaspersky mengimbau pengguna untuk memeriksa sumber e-book sebelum mengunduh, meneliti properti file secara cermat, serta memastikan perangkat dilindungi solusi keamanan yang mutakhir.
Kaspersky juga merekomendasikan penggunaan perangkat lunak keamanan dengan kemampuan deteksi malware tingkat lanjut yang telah teruji secara independen. Dalam pengujian terbaru AV-Comparatives, Kaspersky Premium mencatat tingkat perlindungan malware hingga 99,99% dari hampir 10 ribu sampel uji.(ak)