Masad Stealer, Spyware Baru yang Gunakan Bot Telegram sebagai Command-and-Control

217

Masad Stealer, Spyware Baru yang Gunakan Bot Telegram sebagai Command-and-Control. Baru-baru ini ditemukan spyware jenis baru bernama “Masad Clipper and Stealer”. Masad sendiri menargetkan pengguna Windows dan Android, dan selain memiliki kemampuan mencuri data informasi pribadi milik korbannya (yang menjadi kemampuan “wajib” bagi spyware), Masad juga memiliki kemampuan untuk mencuri mata uang kripto dari wallet korban, serta menanamkan malware tambahan di device korbannya.

Berdasarkan analisa dari Juniper Threat Labs, salah satu hal yang paling menarik tentang Masad (yang menurut peneliti merupakan turunan dari malware terkenal “Qulab Stealer”) adalah bahwa ia mengirimkan data yang dikumpulkannya dari para korban ke bot Telegram yang bertindak sebagai server C&C. Menurut hasil analisa, untuk berkomunikasi ke server C&C, Masad pertama-tama mengirim pesan getMe menggunakan token untuk mengonfirmasi bahwa bot masih aktif. Kemudian, mengoleksi serangkaian data dari device korban dan mengkompressnya dengan ekstensi .zip (menggunakan tool 7zip yang dibundel ke dalam biner malware), ia mengirim folder itu bersama menggunakan API sendDocument.

Data yang dicuri oleh Masad. Sumber gambar: forums.juniper.net

Untuk data yang dikoleksi oleh Masad sendiri anatara lain adalah password dan data autofill yang tersimpan di browser (termasuk data kartu kredit yang tersimpan di browser, cookie browser, file Steam, file FileZilla, dana informasi hardware korban, serta aplikasi dan proses yang berjalan di sistem tersebut. Masad juga memiliki kemampuan untuk mengubah alamat kripto dari clipboard ke alamat milik attacker.

Saat ini Masad Stealer dijual di beberapa forum hacking, menjadikannya ancaman yang aktif dan berkelanjutan. Pembeli dapat mengambil berbagai versi, mulai dari yang gratis hingga paket premium seharga $85, dengan fitur yang lebih lengkap dan spesial tentunya.

Masad Stealer ditulis menggunakan script Autoit dan kemudian dikompilasi menjadi file Windows yang dapat dieksekusi. Sebagian besar sampel yang ditemukan oleh Juniper berukuran 1,5 MiB; Namun, spyware ini nampaknya juga telah disebarkan dengan cara di bundle ke file lain seperti cheat aimbot Fortnite dan masih banyak lagi.(yuyudhn/linuxsec)