Operasi Endgame: Superhero Dunia Maya Basmi Monster Danabot

Departemen Kehakiman Amerika Serikat, melalui FBI dan Defense Criminal Investigative Service (DCIS) dari Departemen Pertahanan AS, baru-baru ini mengumumkan keberhasilan besar dalam melumpuhkan infrastruktur Danabot.

Danabot adalah infostealer (pencuri informasi) terkenal yang beroperasi sebagai malware-as-a-service (MaaS), yang berarti perangkat lunak jahatnya disewakan kepada penjahat siber lain.

Operasi penumpasan global yang dinamakan “Operation Endgame” ini adalah inisiatif berkelanjutan yang dikoordinasi oleh Europol dan Eurojust, bertujuan untuk mengidentifikasi, membongkar, dan mengadili jaringan kejahatan siber di seluruh dunia.

Dalam upaya besar ini, banyak perusahaan keamanan siber terkemuka turut berpartisipasi, termasuk ESET yang telah terlibat sejak tahun 2018.

Kontribusi ESET mencakup analisis teknis mendalam terhadap malware dan infrastruktur backend-nya, serta mengidentifikasi server Command & Control (C&C) Danabot.

Kolaborasi multinasional ini juga melibatkan raksasa industri seperti Amazon, CrowdStrike, Flashpoint, Google, Intel471, PayPal, Proofpoint, Team Cymru, Zscaler, serta lembaga penegak hukum dari Jerman, Belanda, dan Australia.

Keberhasilan operasi ini tidak hanya melumpuhkan sebagian besar Danabot, tetapi juga berhasil mengidentifikasi individu-individu yang bertanggung jawab atas pengembangan, penjualan, dan administrasi malware ini.

Mengenal Danabot: Evolusi dan Peran dalam Kejahatan Siber

Danabot adalah anggota dari keluarga malware infostealer dan/atau banking malware yang dikodekan dalam bahasa pemrograman Delphi. Malware ini pertama kali muncul pada tahun 2018 dalam kampanye spam yang menargetkan pengguna di Australia.

Sejak saat itu, Danabot telah memperluas jangkauannya ke pasar-pasar lain melalui berbagai kampanye, mengalami beberapa pembaruan besar pada internal dan infrastruktur backend-nya, serta mengalami pasang surut popularitas di kalangan penjahat siber.

Sejak pemantauan ESET dimulai pada tahun 2018, tim telah melacak dan menganalisis sejumlah besar sampel Danabot yang berbeda serta mengidentifikasi lebih dari 1.000 server C&C yang unik.

Selama periode tersebut, ESET menganalisis berbagai kampanye Danabot di seluruh dunia, dengan Polandia secara historis menjadi salah satu negara yang paling banyak menjadi target.

Selain kejahatan siber yang umum, Danabot juga telah digunakan dalam aktivitas yang kurang konvensional. Misalnya, memanfaatkan mesin yang telah terkompromi untuk melancarkan serangan DDoS (Distributed Denial of Service).

Sebuah contoh nyata terjadi tak lama setelah invasi Rusia ke Ukraina, di mana serangan DDoS terhadap Kementerian Pertahanan Ukraina terdeteksi oleh Zscaler. Sebuah modul DDoS yang sangat mirip dengan yang digunakan dalam serangan itu.

Yang juga dimanfaatkan oleh operator Danabot untuk menargetkan situs-situs Rusia. Tindakan semacam ini kemungkinan besar dimotivasi oleh ambisi pribadi dan motivasi politik dari afiliasi tertentu.

Model Bisnis dan Fitur Danabot: Layanan Penuh untuk Penjahat Siber

Para pembuat Danabot beroperasi sebagai satu kelompok, yang menawarkan alat mereka untuk disewa kepada calon afiliasi. Afiliasi ini kemudian menggunakannya untuk tujuan jahat mereka sendiri dengan membangun dan mengelola botnet mereka.

Para pembuat bahkan telah menyiapkan halaman dukungan di jaringan Tor yang berisi informasi rinci tentang kemampuan alat mereka. Untuk mendapatkan pelanggan baru, Danabot sering dipromosikan di forum bawah tanah oleh pengguna bernama JimmBee, yang bertindak sebagai salah satu pengembang utama dan administrator malware Danabot.

Sosok penting lainnya dalam kelompok Danabot adalah pengguna yang dikenal di forum bawah tanah sebagai Onix, yang turut mengelola infrastruktur Danabot dan juga bertanggung jawab atas operasi penjualan.

Para pembuat Danabot telah mengembangkan berbagai fitur canggih untuk membantu pelanggan mereka mencapai tujuan jahat. Fitur-fitur paling menonjol yang ditawarkan oleh Danabot meliputi:

Pencurian Data Luas: Kemampuan untuk mencuri berbagai data dari browser web, klien email, klien FTP, dan perangkat lunak populer lainnya.
Keylogging dan Perekaman Layar: Merekam setiap ketikan tombol keyboard dan merekam aktivitas di layar korban.
Kontrol Jarak Jauh Real-time: Memungkinkan penyerang untuk mengendalikan sistem korban dari jarak jauh secara real-time.
FileGrabber Command: Perintah khusus yang umumnya digunakan untuk mencuri dompet cryptocurrency.
Dukungan Webinjects dan Form Grabbing: Fitur untuk memodifikasi halaman web yang sah secara dinamis dan mencuri data yang dimasukkan ke dalam formulir online.
Pengunggahan dan Eksekusi Payload Arbitrer: Kemampuan untuk mengunduh dan menjalankan file berbahaya tambahan di sistem korban.

Selain kemampuan mencuri data, ESET telah mengamati berbagai payload yang disebarkan melalui Danabot selama bertahun-tahun, termasuk malware seperti SystemBC, Rescoms, Ursnif, Smokeloader, Zloader, Lumma Stealer, RecordBreaker, Latrodectus, dan bahkan alat administrasi jarak jauh komersial seperti NetSupportManager.

Yang lebih mengkhawatirkan, Danabot juga telah digunakan untuk mengunduh ransomware ke sistem yang sudah terkompromi.

Beberapa ransomware yang teridentifikasi disebarkan melalui Danabot antara lain LockBit, Buran, Crisis, dan varian NonRansomware.

Selain itu, Danabot juga digunakan sebagai alat untuk menyerahkan kendali botnet kepada operator ransomware lainnya, seperti yang dilaporkan oleh Microsoft Threat Intelligence pada akhir 2023.

Metode Distribusi dan Infrastruktur Canggih

Sepanjang keberadaannya, menurut pemantauan ESET, Danabot telah menjadi pilihan utama bagi banyak penjahat siber, dan masing-masing menggunakan metode distribusi yang berbeda.

Para pengembang Danabot bahkan bermitra dengan pembuat cryptor dan loader malware tertentu, menawarkan harga khusus untuk paket distribusi kepada pelanggan mereka, membantu mereka dalam prosesnya. Matanbuchus adalah contoh loader yang dipromosikan.

Selama bertahun-tahun, metode distribusi yang digunakan oleh afiliasi Danabot sangat bervariasi, termasuk:

Berbagai varian kampanye spam email yang masif.
Menggunakan bersama malware lain seperti Smokeloader, DarkGate, dan Matanbuchus.
Salah satu metode paling menonjol baru-baru ini adalah penyalahgunaan Google Ads. Mereka menampilkan situs web berbahaya yang tampak relevan di antara tautan sponsor hasil pencarian Google, untuk memancing korban mengunduh Danabot. Taktik populer melibatkan pengemasan malware dengan perangkat lunak sah dan menawarkannya melalui situs perangkat lunak palsu, atau situs web yang secara keliru menjanjikan bantuan kepada pengguna untuk menemukan dana yang tidak diklaim. Tambahan terbaru untuk teknik social engineering ini adalah situs web menipu yang menawarkan solusi untuk masalah komputer palsu, yang satu-satunya tujuannya adalah memancing korban untuk mengeksekusi perintah berbahaya yang diam-diam disisipkan ke dalam clipboard pengguna.

Sebuah Kemenangan Krusial dalam Perang Siber

Danabot adalah operasi MaaS berskala besar yang mendistribusikan berbagai alat untuk digunakan oleh afiliasi malware. Investigasi ESET terhadap infostealer ini, yang dimulai pada tahun 2018, menghasilkan analisis terperinci mengenai toolset Danabot.

Upaya kolaborasi yang luas dari otoritas penegak hukum dan beberapa perusahaan keamanan siber, termasuk ESET, telah berhasil melumpuhkan infrastruktur malware ini. Masih harus dilihat apakah Danabot dapat pulih dari penumpasan ini.

Namun, pukulan ini pasti akan sangat terasa, mengingat penegak hukum berhasil mengungkap beberapa individu yang terlibat dalam operasi malware tersebut.

Keberhasilan “Operation Endgame” ini adalah contoh nyata betapa pentingnya kerja sama global dalam memerangi kejahatan siber yang semakin terorganisir dan canggih.

Baca artikel lainnya: