RAT Canggih Curi Data Bank Lewat Chat

RAT Canggih Curi Data Bank Lewat Chat – Para peneliti keamanan siber telah mengungkap adanya kampanye malware besar yang secara khusus menargetkan pengguna dan lembaga keuangan.

Malware baru yang disebut Maverick menunjukkan kemiripan mencolok dengan malware perbankan sebelumnya, Coyote, dan disebarkan melalui cara yang sangat efektif: eksploitasi sesi WhatsApp Web.

Kelompok ancaman di balik serangan ini dikenal sebagai Water Saci. Taktik mereka menunjukkan evolusi signifikan dalam serangan trojan perbankan.

Yang beralih dari payload tradisional ke penyalahgunaan profil browser resmi dan platform pesan instan untuk melancarkan serangan yang terukur dan tersembunyi.

Modus Operandi Maverick dan WhatsApp

Serangan Maverick melibatkan dua komponen kunci: malware yang menyebar sendiri bernama SORVEPOTEL dan payload utama Maverick.

Penyebaran Melalui WhatsApp Web

Serangan dimulai ketika malware SORVEPOTEL (yang sering disamarkan dalam bentuk file ZIP dengan nama menarik) menyebar melalui versi desktop WhatsApp.
Malware ini menggunakan alat otomatisasi browser seperti ChromeDriver dan Selenium untuk membajak sesi WhatsApp Web korban.
Dengan menyalin data profil Chrome yang sah (termasuk cookies dan authentication tokens), malware ini mampu melewati otentikasi WhatsApp Web sepenuhnya, mendapatkan akses ke akun korban tanpa memicu peringatan keamanan atau memerlukan pemindaian kode QR.
Begitu sesi WhatsApp dikendalikan, script yang jahat akan mengambil template pesan penipuan dan mengirimkan file ZIP berbahaya ke SEMUA kontak yang terkait dengan akun korban.

Fungsi Utama Malware Maverick

Maverick, yang ditulis dalam bahasa .NET dan memiliki fungsi mirip Coyote, dirancang untuk tujuan finansial:

Mengintai URL Bank: Malware memonitor tab jendela browser aktif dan mencari URL yang cocok dengan daftar bank yang sudah di-hardcode di Amerika Latin (terutama Brasil).
Pencurian Kredensial: Jika ada kecocokan, malware akan menghubungi server jarak jauh untuk mengambil perintah dan menayangkan halaman phishing di atas halaman bank asli untuk mencuri username dan password korban.

Struktur Serangan Canggih Water Saci

Kampanye Water Saci menunjukkan tingkat kecanggihan yang tinggi dalam upayanya menghindari deteksi dan memastikan operasi yang berkelanjutan (resilience).

RAT Canggih Curi Data Bank Lewat Chat — Image credit: Pixabay

1. Rantai Infeksi Multi-Tahap

File ZIP awal berisi shortcut Windows (LNK) yang, ketika dijalankan, menggunakan cmd.exe atau PowerShell untuk mengunduh payload tahap pertama dari server eksternal.
Script PowerShell ini dapat meluncurkan alat perantara untuk menonaktifkan Microsoft Defender Antivirus dan UAC (User Account Control).
Loader utama memiliki teknik anti-analisis untuk mendeteksi keberadaan alat reverse engineering dan menghentikan dirinya sendiri jika terdeteksi.
Malware Maverick hanya akan menginstal dirinya sendiri setelah memastikan korban berada di Brasil dengan memeriksa zona waktu, bahasa, wilayah, dan format tanggal perangkat yang terinfeksi.

2. Infrastruktur C2 Berbasis Email (IMAP)

Water Saci menggunakan metode komunikasi command-and-control (C2) yang tidak biasa untuk menjaga ketahanan:

Malware menggunakan koneksi IMAP untuk akun email tertentu (misalnya terra.com.br) menggunakan kredensial yang sudah terprogram.
Penyerang mengirimkan perintah ke malware melalui email, bukan komunikasi HTTP tradisional. Akun email ini bahkan diamankan dengan MFA (Multi-Factor Authentication), yang menunjukkan penyerang harus memasukkan kode otentikasi sekali pakai secara manual untuk mengakses inbox dan mengirim perintah C2.

3. Botnet dan Kontrol Real-Time

Water Saci tidak hanya mencuri data, tetapi juga mengubah mesin yang terinfeksi menjadi alat botnet. Mereka memiliki mekanisme kontrol jarak jauh yang memungkinkan penyerang untuk menjeda, melanjutkan, dan memantau penyebaran WhatsApp secara real-time.

Daftar perintah yang didukung malware sangat luas, termasuk, INFO (mengumpulkan info sistem), CMD (menjalankan perintah), SCREENSHOT, KILL (menghentikan proses), DOWNLOAD/UPLOAD_FILE, hingga REBOOT dan SHUTDOWN sistem.

Evolusi Agresif

Kemiripan antara Maverick dan Coyote menunjukkan adanya ekosistem siberkriminal Brasil yang sama. Kelompok Water Saci sangat agresif dalam “kuantitas dan kualitas” serangan.

Dengan 148 juta pengguna aktif, Brasil adalah pasar WhatsApp terbesar kedua di dunia setelah India, menjadikannya target yang sangat menggiurkan.

Serangan ini menandai pergeseran signifikan, penjahat siber kini fokus mengeksploitasi profil browser yang sah dan platform pesan untuk melancarkan serangan yang tersembunyi dan terukur.

Baca artikel lainnya: