Kode sumber trojan akses jarak jauh (RAT) yang dijuluki ‘CodeRAT’ telah bocor di GitHub setelah analis malware mengonfrontasi pengembang tentang serangan yang menggunakan alat tersebut.
Operasi jahat, yang tampaknya berasal dari Iran, menargetkan pengembang perangkat lunak berbahasa Farsi dengan dokumen Word yang menyertakan eksploitasi Microsoft Dynamic Data Exchange (DDE).
Eksploitasi mengunduh dan mengeksekusi CodeRAT dari repositori GitHub pelaku ancaman, memberikan operator jarak jauh berbagai kemampuan pasca-infeksi.
Lebih khusus lagi, CodeRAT mendukung sekitar 50 perintah dan dilengkapi dengan kemampuan pemantauan ekstensif yang menargetkan webmail, dokumen Microsoft Office, database, platform jaringan sosial, lingkungan pengembangan terintegrasi (IDE) untuk Windows Android, dan bahkan situs web individual seperti PayPal.
Perusahaan keamanan siber SafeBreach melaporkan bahwa malware juga memata-matai jendela sensitif untuk alat seperti Visual Studio, Python, PhpStorm, dan Verilog – bahasa deskripsi perangkat keras untuk memodelkan sistem elektronik.
Untuk berkomunikasi dengan operatornya dan untuk mengekstrak data yang dicuri, CodeRAT menggunakan mekanisme berbasis Telegram yang mengandalkan API unggah file anonim publik alih-alih infrastruktur server perintah dan kontrol yang lebih umum.
Meskipun kampanye berhenti tiba-tiba ketika para peneliti menghubungi pengembang malware, CodeRAT kemungkinan akan menjadi lebih umum sekarang karena pembuatnya membuat kode sumber publik.
Detail CodeRAT
Malware ini mendukung sekitar 50 perintah yang mencakup mengambil tangkapan layar, menyalin konten clipboard, mendapatkan daftar proses yang sedang berjalan, menghentikan proses, memeriksa penggunaan GPU, mengunduh, mengunggah, menghapus file, menjalankan program.
Penyerang dapat membuat perintah melalui alat UI yang membangun dan mengaburkannya, lalu menggunakan salah satu dari tiga metode berikut untuk mengirimkannya ke malware:
1. Telegram bot API dengan proxy (tidak ada permintaan langsung)
2. Mode manual (termasuk opsi USB)
3. Perintah yang disimpan secara lokal di folder ‘myPictures’
Tiga metode yang sama juga dapat digunakan untuk eksfiltrasi data, termasuk file tunggal, seluruh folder, atau penargetan ekstensi file tertentu.
Jika negara korban telah melarang Telegram, CodeRAT menawarkan fungsionalitas anti-filter yang membuat saluran perutean permintaan terpisah yang dapat membantu melewati pemblokiran.
Penulis juga mengklaim bahwa malware dapat bertahan di antara reboot tanpa membuat perubahan apa pun pada registri Windows, tetapi SafeBreach tidak memberikan detail apa pun tentang fitur ini.
CodeRAT hadir dengan kemampuan kuat yang kemungkinan akan menarik penjahat dunia maya lainnya. Pengembang malware selalu mencari kode malware yang dapat dengan mudah diubah menjadi “produk” baru yang akan meningkatkan keuntungan mereka.
Sumber: BleepingComputer
