Kelompok peretas asal Pakistan, APT36 (alias Transparent Tribe), kembali beraksi dengan metode baru: menyalahgunakan file .desktop di Linux untuk menyebarkan malware ke target mereka. Serangan ini terutama menyasar individu di sektor pemerintahan, pendidikan, dan militer, dengan pendekatan rekayasa sosial yang canggih dan spesifik.
File .desktop Jadi Senjata Malware
Dalam sistem operasi Linux, file .desktop biasanya digunakan sebagai shortcut aplikasi grafis, mirip dengan file .lnk di Windows. APT36 menyamarkan file ini sebagai dokumen penting, seperti file PDF atau presentasi, namun ketika diklik, file tersebut menjalankan skrip tersembunyi yang mengunduh dan mengeksekusi malware dari server kendali mereka.
Target utama menerima file melalui:
- Email phishing dengan lampiran palsu
- Undangan acara atau dokumen akademik
- Link unduhan melalui situs palsu
Karena tampak seperti file biasa dan sering memiliki ikon PDF, korban dengan mudah tertipu dan memberikan eksekusi tanpa curiga.
Tujuan: Pemantauan dan Eksfiltrasi Data
Malware yang disebarkan APT36 melalui teknik ini memiliki fungsi utama untuk:
- Mengambil data sensitif dari sistem target
- Merekam aktivitas keyboard (keylogging)
- Mengakses dokumen dan informasi jaringan
- Memantau aktivitas webcam dan mikrofon (pada beberapa varian)
Jenis malware yang digunakan sebagian besar adalah varian Linux dari RAT (Remote Access Trojan), yang memungkinkan pelaku mengendalikan sistem secara jarak jauh dan diam-diam.
Teknik Lama, Target Baru
APT36 dikenal aktif sejak 2013 dan sebelumnya lebih banyak menargetkan sistem Windows dengan malware seperti Crimson RAT. Namun, dengan semakin banyaknya pengguna Linux di institusi akademik dan pemerintahan, mereka kini mengadaptasi taktiknya ke ekosistem Linux.
Pergeseran ini menandakan bahwa Linux bukan lagi platform yang aman secara default, terutama jika pengguna lengah terhadap rekayasa sosial.
Imbauan Keamanan untuk Pengguna Linux
Pakar keamanan siber menyarankan langkah-langkah berikut:
- Jangan pernah menjalankan file .desktop dari sumber tak dikenal
- Periksa isi file
.desktopdengan editor teks sebelum klik ganda - Gunakan permission minimal: jangan berikan executable permission sembarangan
- Aktifkan AppArmor atau SELinux untuk membatasi perilaku aplikasi
- Gunakan solusi keamanan endpoint meski di Linux
Kampanye APT36 ini menjadi pengingat bahwa serangan canggih tidak selalu melalui eksploit teknis, tetapi juga melalui eksploitasi psikologis dan kelengahan pengguna.
Sumber: BleepingComputer