Malware Poliglot: Ancaman Baru bagi Penerbangan & Satelit

Serangan siber semakin berkembang dengan teknik yang semakin canggih. Salah satu ancaman terbaru adalah malware poliglot, yang ditemukan oleh peneliti dari Proofpoint dalam serangan terhadap perusahaan penerbangan, komunikasi satelit, dan organisasi transportasi di Uni Emirat Arab (UEA). Malware ini menginstal backdoor bernama Sosano, yang memungkinkan penyerang mengendalikan perangkat korban dari jarak jauh.

Peneliti menduga serangan ini berasal dari kelompok peretas bernama UNK_CraftyCamel, yang memiliki keterkaitan dengan kelompok peretas asal Iran, seperti TA451 dan TA455. Meskipun serangan ini masih berskala kecil, para pakar memperingatkan bahwa teknik yang digunakan sangat canggih dan berpotensi menjadi ancaman besar di masa depan.

Dalam artikel ini, kita akan membahas bagaimana malware poliglot bekerja, metode penyebarannya, serta langkah-langkah untuk melindungi diri dari ancaman ini.

Apa Itu Malware Poliglot?

Malware poliglot adalah jenis malware yang memiliki kemampuan menyamar sebagai berbagai format file dalam satu berkas. Dengan teknik ini, malware dapat dikenali sebagai file yang berbeda oleh berbagai aplikasi, sehingga mampu menghindari deteksi perangkat lunak keamanan.

Sebagai contoh:

• Sebuah file bisa memiliki struktur MSI (Windows Installer) sekaligus JAR (Java Archive).
• Sistem Windows mengenali file tersebut sebagai MSI, sedangkan sistem Java membacanya sebagai JAR.

Dengan memanfaatkan teknik ini, malware dapat menyusup tanpa terdeteksi oleh perangkat lunak keamanan yang biasanya hanya memeriksa satu format file dalam satu waktu. Ini memungkinkan file berbahaya dieksekusi di dalam sistem target tanpa menimbulkan kecurigaan.

Keunggulan teknik ini bagi peretas:

• Mengelabui sistem keamanan, karena sebagian besar antivirus hanya memeriksa satu jenis format file.
• Meningkatkan peluang infeksi, karena korban tidak menyadari bahwa file yang mereka buka mengandung malware.
• Menyembunyikan aktivitas berbahaya, karena sistem mendeteksinya sebagai file yang sah.

Bagaimana Malware Poliglot Menyebar?

Menurut penelitian dari Proofpoint, malware poliglot sering digunakan dalam kampanye spear-phishing, yaitu serangan phishing yang sangat terarah. Salah satu kasus terbaru melibatkan penyebaran malware melalui email yang dikirim dari perusahaan elektronik India yang telah diretas, yaitu INDIC Electronics.

Serangan ini dilakukan dengan sangat cermat:

• Korban menerima email berisi tautan berbahaya menuju situs palsu indicelectronics[.]net.
• Di dalam situs tersebut, korban diminta untuk mengunduh file ZIP berbahaya bernama OrderList.zip.
• Di dalam ZIP tersebut terdapat beberapa file yang tampak normal, tetapi sebenarnya berbahaya, seperti:
  
  • File LNK (Windows shortcut) yang menyamar sebagai file Excel (XLS).

Dua file PDF berbahaya, yaitu:

• about-indic.pdf, yang mengandung kode HTA berbahaya.
• electronica-2024.pdf, yang menyembunyikan arsip ZIP berbahaya.

Salah satu keunggulan teknik poliglot dalam file PDF adalah kemampuannya untuk menipu sistem keamanan. Sebagian besar perangkat lunak keamanan hanya akan memeriksa bagian awal file, yang memang tampak seperti dokumen PDF biasa, sehingga bagian malware tersembunyi dapat lolos dari deteksi.

Bagaimana Malware Poliglot Menginfeksi Perangkat?

Jika korban menjalankan file LNK yang tampak seperti dokumen Excel, Windows akan secara otomatis menjalankan perintah berbahaya melalui cmd.exe dan mshta.exe. Berikut tahapan eksekusinya:

• File LNK memicu eksekusi kode HTA tersembunyi yang terdapat di about-indic.pdf.
• File PDF kedua (electronica-2024.pdf) dieksekusi, yang mengandung arsip ZIP tersembunyi.

ZIP ini berisi berbagai komponen malware, termasuk:

• File URL berbahaya yang ditanamkan dalam Windows Registry, memastikan malware tetap aktif meskipun perangkat di-restart.
• File JPEG yang telah dikodekan dengan XOR, yang kemudian mendekode dan menjalankan DLL berbahaya bernama "yourdllfinal.dll".
• DLL inilah yang berfungsi sebagai backdoor bernama Sosano, memungkinkan penyerang mendapatkan akses penuh ke perangkat korban.

Malware ini dikembangkan menggunakan bahasa pemrograman Go, yang memiliki keunggulan dalam kecepatan dan efisiensi eksekusi. Selain itu, malware ini dibuat berukuran cukup besar (sekitar 12MB) agar sulit dianalisis oleh sistem keamanan.

Setelah berhasil menginfeksi perangkat korban, Sosano akan:

• Terhubung ke server command and control (C2) di bokhoreshonline[.]com.
• Memungkinkan penyerang melakukan berbagai aksi berbahaya, seperti:
  
  • Mengakses dan memodifikasi file di perangkat korban.
  • Menjalankan perintah sistem secara langsung (shell command execution).
  • Mengunduh dan menjalankan malware tambahan.

Berbeda dengan jenis malware lain yang hanya berfokus pada merusak sistem, tujuan utama Sosano adalah spionase siber. Malware ini digunakan untuk mengumpulkan informasi rahasia dari perusahaan di sektor:

• Penerbangan
• Komunikasi satelit

Dampak dari serangan ini bisa sangat luas, terutama jika informasi yang berhasil dicuri digunakan untuk kepentingan spionase industri atau geopolitik.

Hubungan dengan Kelompok Peretas Iran

Menurut para peneliti dari Proofpoint, teknik dan pola serangan yang digunakan dalam penyebaran malware Sosano memiliki kemiripan dengan kelompok peretas yang berafiliasi dengan Iran, seperti TA451 dan TA455.
Meskipun belum ada bukti langsung yang menghubungkan Sosano dengan kelompok peretas tertentu, metode yang digunakan sangat mirip dengan taktik spionase siber Iran. Hal ini menunjukkan bahwa aktor ancaman yang lebih besar mungkin terlibat dalam serangan ini.

Cara Efektif Melindungi Diri dari Malware Poliglot

Malware poliglot adalah jenis ancaman siber yang semakin canggih karena kemampuannya untuk menyamar dalam berbagai format file. Dengan sifatnya yang fleksibel, malware ini dapat menghindari deteksi dan menyusup ke sistem dengan cara yang tidak terduga. Oleh karena itu, organisasi dan individu perlu menerapkan strategi keamanan berlapis untuk mencegah infeksi dan meminimalkan risiko serangan.

Berikut beberapa langkah efektif yang dapat dilakukan untuk melindungi diri dari malware poliglot:

1. Meningkatkan Keamanan Email
   Email adalah salah satu jalur utama penyebaran malware poliglot. Oleh karena itu, meningkatkan sistem keamanan email sangat penting untuk mencegah serangan ini.
   
   • Gunakan sistem pemindaian email untuk mendeteksi lampiran dan tautan berbahaya sebelum masuk ke kotak masuk penerima.
   • Terapkan filter yang lebih ketat untuk email dari domain yang mencurigakan atau yang sering digunakan dalam serangan phishing.
   • Gunakan teknologi email authentication seperti SPF, DKIM, dan DMARC untuk mencegah pemalsuan email oleh peretas.
2. Meningkatkan Kesadaran Pengguna
   Kesalahan manusia sering menjadi celah bagi malware untuk masuk ke dalam sistem. Oleh karena itu, edukasi dan pelatihan bagi pengguna sangatlah penting.
   
   • Latih karyawan dan pengguna untuk mengenali serangan spear-phishing.
   • Berikan contoh kasus nyata dan simulasi untuk meningkatkan kewaspadaan mereka.
   • Hindari membuka lampiran dari email yang tidak dikenal, terutama jika berasal dari domain yang tidak familiar atau mencurigakan.
   • Selalu periksa alamat email pengirim dengan teliti. Peretas sering kali menggunakan domain yang mirip dengan domain resmi untuk menipu korban.
3. Menggunakan Perangkat Lunak Keamanan yang Lebih Canggih
   Mengandalkan antivirus biasa saja tidak cukup untuk menghadapi malware poliglot. Diperlukan perangkat lunak keamanan yang lebih canggih dan mampu mengenali ancaman tersembunyi.
   
   • Gunakan solusi keamanan yang memiliki kemampuan analisis file poliglot, seperti sandboxing dan machine learning.
   • Pastikan antivirus, antimalware, dan firewall selalu diperbarui agar dapat mengenali ancaman terbaru.
   • Gunakan endpoint detection and response (EDR) untuk mendeteksi dan merespons aktivitas mencurigakan secara real-time.
4. Membatasi Eksekusi Format File Berbahaya
   Beberapa format file sering digunakan sebagai kendaraan untuk menyebarkan malware poliglot. Dengan membatasi penggunaannya, risiko serangan bisa ditekan.
   
   • Blokir file dengan format berisiko tinggi seperti LNK, HTA, dan ZIP di gerbang email, terutama jika tidak digunakan dalam operasional sehari-hari.
   • Gunakan kebijakan keamanan untuk membatasi eksekusi skrip yang tidak dikenal, seperti JavaScript dan PowerShell, yang sering dimanfaatkan oleh malware.
   • Terapkan daftar putih (whitelisting) aplikasi agar hanya perangkat lunak resmi yang bisa dijalankan di sistem.
5. Memantau Aktivitas Jaringan
   Malware poliglot sering kali mencoba berkomunikasi dengan server Command and Control (C2) untuk menerima instruksi lebih lanjut. Oleh karena itu, pemantauan aktivitas jaringan sangatlah penting.
   
   • Periksa lalu lintas jaringan secara rutin untuk mendeteksi koneksi ke server C2 yang mencurigakan.
   • Gunakan Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS) untuk mengidentifikasi serta menghalau aktivitas mencurigakan sebelum terjadi kerusakan.
   • Terapkan segmentasi jaringan untuk membatasi penyebaran malware jika terjadi infeksi.

Kesimpulan
Malware poliglot merupakan ancaman siber yang semakin canggih dengan kemampuannya menyamar dalam berbagai format file untuk menghindari deteksi sistem keamanan. Serangan terbaru yang menggunakan malware ini menargetkan sektor penerbangan, komunikasi satelit, dan transportasi di Uni Emirat Arab, dengan teknik spear-phishing sebagai metode penyebarannya.

Salah satu varian malware yang teridentifikasi, Sosano, berfungsi sebagai backdoor yang memungkinkan peretas mengakses sistem korban untuk tujuan spionase siber. Teknik dan pola serangan yang digunakan menunjukkan kemungkinan keterlibatan kelompok peretas yang berafiliasi dengan Iran.

Untuk melindungi diri dari ancaman ini, organisasi dan individu harus menerapkan strategi keamanan berlapis. Ini mencakup peningkatan keamanan email, edukasi pengguna, penggunaan perangkat lunak keamanan yang canggih, pembatasan eksekusi format file berbahaya, serta pemantauan aktivitas jaringan secara ketat. Dengan langkah-langkah ini, risiko infeksi malware poliglot dapat diminimalkan, sehingga keamanan sistem dan data tetap terjaga.