PC Windows saat ini sedang diserang dari yang baru Malware berbasis Python yang sebelumnya tidak terdeteksi yang dapat mencuri kata sandi dan data sensitif lainnya dari browser korban.
Menurut perusahaan analitik ancaman Securonix (terbuka di tab baru)malware ini adalah trojan akses jarak jauh (TIKUS) dijuluki PY#RATION. Saat ini sedang disebarkan melalui kampanye phishing yang menggunakan file ZIP yang dilindungi kata sandi yang dilampirkan ke email yang menyertakan dua file .lnk yang disamarkan sebagai gambar yang menggambarkan bagian depan dan belakang SIM.
Apa yang membedakan PY#RATION dari yang lain Strain malware Windows adalah fakta bahwa ia menggunakan protokol WebSocket untuk berkomunikasi dengan server perintah dan kontrol (C&C) tempat data yang dicuri dari PC yang terinfeksi dikirim sesuai dengan BleepingComputer (terbuka di tab baru).
Meskipun penelitian baru tentang malware ini baru saja terungkap, para peneliti di Securonix mencatat bahwa saat ini sedang digunakan dalam serangan dan mereka telah mengamati beberapa versi PY#RATION sejak diluncurkan kembali pada Agustus tahun lalu.
Menyamar sebagai Cortana
Saat diluncurkan, dua pintasan yang terdapat dalam file ZIP mengeksekusi kode berbahaya di latar belakang sementara pengguna yang tidak menaruh curiga sedang melihat gambar SIM. Kode ini digunakan untuk menghubungi server C&C yang dikendalikan penyerang dan mengunduh dua file teks (.txt) yang kemudian diubah namanya menjadi file BAT (.bat).
Namun, malware juga membuat direktori “Cortana” dan “Cortana/Setup” di folder sementara korban. File yang dapat dieksekusi lainnya kemudian diunduh, dibongkar, dan dijalankan dari lokasi ini.
PY#RATION dapat membangun kegigihan atau pijakan pada PC Windows yang terinfeksi dengan menambahkan file batch yang disebut “CortanaAssist.bat” di direktori startup pengguna. Ini membuat malware lebih sulit untuk dideteksi karena pengguna yang terinfeksi mungkin mengira itu adalah file sistem Windows yang sah daripada virus yang bersembunyi di depan mata.
Meskipun asisten virtual Microsoft tidak sepopuler dulu, itu masih disertakan di Windows 10 dan Windows 11. Namun, di versi Windows terbaru, Cortana tidak lagi disematkan ke bilah tugas. Untungnya, Anda juga bisa hapus instalan Cortana jika menurut Anda asisten virtual Microsoft terlalu invasif.
Mencuri data browser dan clipboard
Versi terbaru PY#RATION (1.6.0) berisi sejumlah fitur untuk memudahkan peretas mencuri data dari PC yang terinfeksi.
Misalnya, malware dapat mentransfer file ke dan dari server C&C, merekam penekanan tombol, mendeteksi jika mesin yang terinfeksi menjalankan perangkat lunak antivirus, mencuri data clipboard, dan mengekstrak kata sandi dan cookie dari browser web. Semua data yang dicuri ini kemudian dapat digunakan untuk melakukan penipuan atau bahkan pencurian identitas.
Selain mencuri data dari Google Chrome, Brave, Opera, dan Microsoft Edge, PY#RATION juga dapat mencuri info dari dompet cryptocurrency terbaik serta data pengguna dan sistem dari PC yang terinfeksi.
Cara tetap aman dari malware Windows
Securonix menunjukkan bahwa karena bahasa Inggris adalah bahasa utama yang digunakan di seluruh PY#RATION dan gambar iming-iming yang digunakan dalam kampanye ini adalah SIM Inggris, malware kemungkinan digunakan untuk menargetkan pengguna Windows di Inggris atau Amerika Utara.
Agar tetap aman dari ini dan malware lainnya, Anda harus selalu menghindari pembukaan lampiran email dari pengirim yang tidak dikenal. Meskipun file di dalamnya mungkin tampak tidak bersalah pada awalnya, mungkin ada sesuatu yang berbahaya terjadi di latar belakang seperti yang terjadi di sini.
Memasang salah satu dari perangkat lunak antivirus terbaik solusi dapat membantu mencegah malware menginfeksi PC Anda dan banyak dari program ini juga menampilkan perlindungan tambahan terhadap phishing. Untuk menjaga keamanan kata sandi dan data sensitif lainnya, Anda harus menggunakan salah satunya pengelola kata sandi terbaik sebagai lawan menyimpan kata sandi Anda di browser Anda. Dengan cara ini, akan lebih sulit bagi peretas untuk mendapatkan mereka bahkan jika mereka berhasil menginfeksi komputer Anda dengan malware.
Sekarang Securonix telah menyoroti PY#RATION, kami mungkin akan mengetahui lebih banyak lagi tentang malware Windows baru ini termasuk detail tentang peretas yang menggunakannya dalam serangan mereka.