Pelaku ancaman tak dikenal telah dikaitkan dengan perangkat malware yang sedang dikembangkan secara aktif yang disebut “Proyek Keabadian” yang memungkinkan penjahat dunia maya profesional dan amatir membeli pencuri, pemotong, worm, penambang, ransomware, dan bot penolakan layanan (DDoS) terdistribusi .
Apa yang membuat malware-as-a-service (MaaS) ini menonjol adalah selain menggunakan saluran Telegram untuk mengomunikasikan pembaruan tentang fitur-fitur terbaru, ia juga menggunakan Bot Telegram yang memungkinkan pembeli membangun biner.
“Itu [threat actors] memberikan opsi di saluran Telegram untuk menyesuaikan fitur biner, yang menyediakan cara efektif untuk membangun biner tanpa ketergantungan apa pun,” kata peneliti dari Cyble dalam laporan yang diterbitkan minggu lalu.
Setiap modul dapat disewa secara terpisah dan menyediakan akses berbayar ke berbagai fungsi –
- Pencuri Keabadian ($260 untuk langganan tahunan) – Menyedot kata sandi, cookie, kartu kredit, ekstensi cryptocurrency browser, dompet crypto, klien VPN, dan aplikasi email dari mesin korban dan mengirimkannya ke Bot Telegram
- Penambang Keabadian ($90 sebagai langganan tahunan) – Menyalahgunakan sumber daya komputasi dari mesin yang disusupi untuk menambang cryptocurrency
- Clipper Keabadian ($ 110) – Program kliping kripto yang mencuri mata uang kripto selama transaksi dengan mengganti alamat dompet asli yang disimpan di papan klip dengan alamat dompet penyerang.
- Ransomware Keabadian ($490) – Ransomware 130kb yang dapat dieksekusi untuk mengenkripsi semua file pengguna hingga uang tebusan dibayarkan
- Cacing Keabadian ($390) – Malware yang menyebar melalui Drive USB, berbagi jaringan lokal, file lokal, serta melalui pesan spam yang disiarkan di Discord dan Telegram.
- Bot DDoS Keabadian (T/A) – Fitur tersebut dikatakan sedang dalam pengembangan.
Cyble menunjukkan ada indikasi bahwa pembuat malware mungkin menggunakan kembali kode yang ada terkait dengan DynamicStealer, yang tersedia di GitHub, dan memperdagangkannya di bawah moniker baru untuk mendapatkan keuntungan.
Perlu dicatat bahwa Jester Stealer, malware lain yang terungkap pada Februari 2022 dan sejak itu digunakan dalam serangan phishing terhadap Ukraina, juga menggunakan repositori GitHub yang sama untuk mengunduh proksi TOR, yang menunjukkan kemungkinan tautan antara dua pelaku ancaman.
Perusahaan keamanan siber juga mengatakan “telah mengamati peningkatan yang signifikan dalam kejahatan dunia maya melalui saluran Telegram dan forum kejahatan dunia maya di mana [threat actors] menjual produk mereka tanpa peraturan apapun.”
Baru minggu lalu, BlackBerry mengungkap cara kerja trojan akses jarak jauh yang disebut DCRat (alias DarkCrystal RAT) yang tersedia untuk dijual dengan harga murah di forum peretasan Rusia dan menggunakan saluran Telegram untuk berbagi detail mengenai pembaruan perangkat lunak dan plugin.