Security

Peretas Rusia Manfaatkan Installer WebEx dan Zoom Palsu untuk Sebarkan Starland RAT

Kelompok peretas Rusia bermotif finansial yang dilacak sebagai UAT-11795 dilaporkan menggunakan installer software populer yang telah dimodifikasi untuk menyebarkan malware baru bernama Starland RAT. Kampanye ini menargetkan pencurian kredensial, aset cryptocurrency, serta informasi sensitif dari sistem korban.

Serangan tersebut telah berlangsung setidaknya sejak Juni 2025 dan sejauh ini paling banyak menyasar pengguna di Amerika Serikat. Namun, aktivitas serupa juga terdeteksi terhadap korban di Jerman, Rumania, dan Venezuela.

Dalam kampanye ini, pelaku menyamarkan malware di dalam installer aplikasi sah yang populer di kalangan pengguna umum maupun profesional IT. Beberapa aplikasi yang ditiru antara lain MobaXterm, WebEx, Zoom, DBeaver, dan FaceIT. Teknik ini membuat korban lebih mudah terkecoh karena file yang dijalankan tampak seperti installer software biasa.

Cisco Talos menyebut rantai serangan dimulai dari file HTA yang mengambil installer NSIS berbahaya. Di dalamnya terdapat loader berbasis Python yang disamarkan sebagai file teks bernama LICENSE.txt. Setelah dijalankan, loader tersebut memodifikasi Windows Registry untuk mempertahankan akses, lalu mendekripsi dan memuat Starland RAT ke sistem korban.

Starland RAT dirancang dengan beberapa lapisan kemampuan. Saat aktif, malware ini memeriksa apakah sedang berjalan di lingkungan sandbox, membuat scheduled task dan item di folder Startup untuk persistence, serta mencoba meningkatkan hak akses di perangkat yang terinfeksi.

Malware ini kemudian mengumpulkan data dari browser dan dompet cryptocurrency, termasuk aset dari lebih dari 40 wallet desktop dan ekstensi browser. Selain itu, Starland juga mengambil informasi sistem seperti HWID, kapasitas RAM, prosesor, sistem operasi, nama komputer, region, alamat IP publik, hingga produk antivirus yang terpasang.

Pada lingkungan perusahaan, Starland RAT juga dapat mengumpulkan informasi Active Directory, termasuk struktur domain, domain controller, dan tingkat hak akses korban di dalam domain. Kemampuan ini membuat ancaman tersebut tidak hanya berbahaya bagi pengguna individu, tetapi juga berpotensi menjadi pintu masuk untuk kompromi jaringan yang lebih luas.

Selain pencurian data, Starland RAT memiliki fungsi remote access yang cukup agresif. Malware ini dapat mengambil screenshot desktop korban, menjalankan perintah shell, menyuntikkan shellcode 32-bit atau 64-bit, serta mengunduh payload tambahan seperti file EXE, MSI, DLL, dan ZIP.

Dalam serangan yang diamati, rantai shellcode 64-bit digunakan untuk mengirimkan CastleStealer, malware pencuri informasi yang menargetkan kredensial browser, data dompet cryptocurrency, sesi Discord dan Telegram, akun Steam, serta file dari sistem korban. Sementara itu, rantai 32-bit mengarah pada penyebaran Remcos RAT, malware remote access yang dikenal memiliki kemampuan keylogging, pemantauan clipboard, perekaman audio, pengambilan webcam dan layar, pengelolaan file, serta eksekusi perintah jarak jauh.

Salah satu aspek menarik dari kampanye UAT-11795 adalah mekanisme cadangan pada komunikasi command-and-control. Jika alamat C2 utama gagal dijangkau, malware dapat menggunakan mekanisme fallback dengan menanyakan smart contract Polygon yang menyimpan domain cadangan terenkripsi XOR.

Cisco Talos juga menemukan penggunaan framework C2 PowerShell yang sebelumnya belum terdokumentasi, bernama WLDR. Framework ini berjalan sepenuhnya di memori, menggunakan komunikasi terenkripsi berbasis PBKDF2-SHA256, dan mengikat pengiriman payload ke hardware identifier masing-masing korban. Pendekatan tersebut membuat payload lebih sulit dianalisis ulang di lingkungan berbeda.

Untuk mengurangi risiko serangan seperti ini, organisasi disarankan memantau indikator kompromi yang telah dipublikasikan, memperketat kontrol eksekusi script, dan membatasi instalasi software dari sumber tidak resmi. Pengguna juga perlu menghindari menjalankan perintah yang ditemukan secara online tanpa memahami fungsinya, serta memastikan software hanya diunduh dari portal resmi vendor.

Sumber: Cisco Talos

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button