Peneliti keamanan siber telah menjelaskan trojan akses jarak jauh baru dan pencuri informasi yang digunakan oleh aktor-aktor yang disponsori negara Iran untuk melakukan pengintaian terhadap titik akhir yang disusupi dan menjalankan perintah jahat.
Perusahaan keamanan siber Check Point telah memberi nama kode malware tersebut WezRatmenyatakan telah terdeteksi di alam liar setidaknya sejak 1 September 2023, berdasarkan artefak yang diunggah ke platform VirusTotal.
“WezRat dapat menjalankan perintah, mengambil tangkapan layar, mengunggah file, melakukan keylogging, dan mencuri konten clipboard dan file cookie,” katanya dalam laporan teknis. “Beberapa fungsi dijalankan oleh modul terpisah yang diambil dari server perintah dan kontrol (C&C) dalam bentuk file DLL, membuat komponen utama pintu belakang tidak terlalu mencurigakan.”
WezRat dinilai merupakan karya Cotton Sandstorm, kelompok peretas Iran yang lebih dikenal dengan nama samaran Emennet Pasargad dan, yang terbaru, Aria Sepehr Ayandehsazan (ASA).
Malware ini pertama kali didokumentasikan akhir bulan lalu oleh badan keamanan siber AS dan Israel, dan menggambarkannya sebagai “alat eksploitasi untuk mengumpulkan informasi tentang titik akhir dan menjalankan perintah jarak jauh.”
Rantai serangan, menurut otoritas pemerintah, melibatkan penggunaan penginstal Google Chrome yang di-trojan (“Google Chrome Installer.msi”) yang, selain memasang browser web Chrome yang sah, dikonfigurasi untuk menjalankan biner kedua bernama “Updater.exe” (secara internal disebut “bd.exe”).
Eksekusi yang mengandung malware, pada bagiannya, dirancang untuk mengumpulkan informasi sistem dan menjalin kontak dengan server perintah-dan-kontrol (C&C) (“connect.il-cert[.]net”) untuk menunggu instruksi lebih lanjut.
Check Point mengatakan pihaknya mengamati WezRat didistribusikan ke beberapa organisasi Israel sebagai bagian dari email phishing yang meniru Direktorat Siber Nasional Israel (INCD). Email yang dikirim pada 21 Oktober 2024 berasal dari alamat email “alert@il-cert[.]net,” dan mendesak penerima untuk segera memasang pembaruan keamanan Chrome.
“Pintu belakang dijalankan dengan dua parameter: connect.il-cert.net 8765, yang mewakili server C&C, dan nomor yang digunakan sebagai 'kata sandi' untuk mengaktifkan eksekusi pintu belakang yang benar,” kata Check Point, mencatat bahwa menyediakan kata sandi yang salah dapat menyebabkan malware “menjalankan fungsi yang salah atau berpotensi mogok”.
“Versi WezRat sebelumnya memiliki alamat server C&C yang dikodekan secara keras dan tidak bergantung pada argumen 'kata sandi' untuk dijalankan,” kata Check Point. “WezRat awalnya berfungsi lebih sebagai trojan akses jarak jauh sederhana dengan perintah dasar. Seiring waktu, fitur tambahan seperti kemampuan tangkapan layar dan keylogger digabungkan dan ditangani sebagai perintah terpisah.”
Selain itu, analisis perusahaan terhadap malware dan infrastruktur backendnya menunjukkan setidaknya ada dua tim berbeda yang terlibat dalam pengembangan WezRat dan operasinya.
“Pengembangan dan penyempurnaan WezRat yang sedang berlangsung menunjukkan investasi khusus dalam memelihara alat yang serbaguna dan dapat mengelak untuk spionase dunia maya,” simpulnya.
“Aktivitas Emennet Pasargad menargetkan berbagai entitas di Amerika Serikat, Eropa, dan Timur Tengah, sehingga menimbulkan ancaman tidak hanya terhadap musuh politik langsung tetapi juga terhadap kelompok atau individu mana pun yang memiliki pengaruh terhadap narasi internasional atau domestik Iran.”