Kampanye jahat yang menargetkan entitas terkait industri di Timur Tengah sejak 2019 telah muncul kembali dengan perangkat malware yang ditingkatkan untuk menyerang sistem operasi Windows dan macOS, yang melambangkan ekspansi baik pada targetnya maupun strateginya dalam mendistribusikan ancaman.
Perusahaan keamanan siber Rusia mengaitkan serangan itu dengan advanced persistent threat (APT) yang dilacaknya sebagai “WildPressure”, dengan korban diyakini berada di industri minyak dan gas.
WildPressure pertama kali terungkap pada Maret 2020 berdasarkan operasi malware yang mendistribusikan Trojan C++ berfitur lengkap yang dijuluki “Milum” yang memungkinkan pelaku ancaman untuk mendapatkan kendali jarak jauh dari perangkat yang disusupi. Serangan itu dikatakan telah dimulai pada awal Agustus 2019.
Sejak itu, sampel malware baru yang digunakan dalam kampanye WildPressure telah digali, termasuk versi terbaru dari C++ Milum Trojan, varian VBScript yang sesuai dengan nomor versi yang sama, dan skrip Python bernama “Guard” yang berfungsi di Windows dan macOS.
Trojan multi-OS berbasis Python, yang secara ekstensif membuat kode pihak ketiga yang tersedia untuk umum, direkayasa untuk memberi isyarat nama host mesin korban, arsitektur mesin, dan nama rilis OS ke server jarak jauh dan memeriksa produk anti-malware yang diinstal, berikutnya ia menunggu perintah dari server yang memungkinkannya mengunduh dan mengunggah file, menjalankan perintah, memperbarui Trojan, dan menghapus jejaknya dari host yang terinfeksi.
Versi VBScript dari malware, bernama “Tandis,” memiliki kemampuan yang mirip dengan Guard dan Milum, sambil memanfaatkan XML terenkripsi melalui HTTP untuk komunikasi command-and-control (C2). Secara terpisah, Kaspersky mengatakan telah menemukan sejumlah plugin C++ yang sebelumnya tidak dikenal yang telah digunakan untuk mengumpulkan data pada sistem yang terinfeksi, termasuk merekam penekanan tombol dan menangkap tangkapan layar.
Selengkapnya: The Hacker News