Malware baru ini menggunakan emoji Discord untuk mencuri data pengguna

Techno.id - Masalah peretasan data yang menyerang server Pusat Data Nasional Sementara (PDNS) 2 masih menjadi pusat perhatian. Maklum sampai saat ini sejumlah data milik lembaga, kementerian, dan pemerintah daerah yang berada di PDNS 2 masih “disandera” kelompok ransomware Brain Cipher. 

Namun baru-baru ini, seperti dikutip dari akun X Fusion Intelligence Center (@stealthmole_int), kelompok peretas Brain Cipher berniat akan merilis kunci enkripsi secara gratis untuk membuka akses data Pemerintah Indonesia yang disandera. Mereka berjanji merilis kunci enkripsi tersebut pada Rabu, (3/7/2024).

Nah belajar dari kasus peretasan data PDNS 2, saat ini sangat perlu untuk selalu menjaga kewaspadaan dalam menggunakan internet. Apalagi kini semakin marak peretas yang menyasar berbagai pengguna, tidak hanya lembaga pemerintah atau perusahaan swasta, tetapi juga individu.   

Tidak jarang para peretas menggunakan berbagai jenis malware untuk menyerang calon korbannya. Bahkan kini ada peretas yang menggunakan emoji untuk berkomunikasi dengan perangkat yang terinfeksi.

Pertama kali ditemukan perusahaan riset keamanan Volexity, malware DISGOMOJI memiliki pengidentifikasi unik, menggunakan emoji Discord untuk menjalankan perintah pada perangkat yang terinfeksi.

Apa itu malware DISGOMOJI?

foto: cyberpeace

Volexity mengungkap malware DISGOMOJI yang ditemukan Juni 2024, menghubungkannya dengan grup yang berbasis di Pakistan yang dilacak sebagai UTA0137. Malware ini menargetkan perangkat Linux menggunakan distribusi BOSS, terutama digunakan lembaga pemerintah di India. 

Bagian paling menarik dari DISCOMOJI adalah penggunaan emoji Discord untuk mengontrol perangkat yang terinfeksi. Alih-alih mengirim perintah menggunakan kata-kata, seperti yang kamu temukan pada kebanyakan malware, operator DISCOMOJI dapat mengirim emoji Discord tertentu untuk meminta tindakan.

Cara kerja malware yang dikontrol emoji

foto: volexity

Pertama, malware harus diinstal agar penyerang dapat mengendalikan perangkat target. Perangkat target dikirimi dokumen palsu yang berisi file berbahaya, yang ketika dijalankan, mengunduh malware DISCOMOJI. Saat diluncurkan, DISCOMOJI mencuri data dari mesin target, seperti informasi lokal, nama pengguna, nama host, direktori tempat malware diinstal, dan data dari perangkat USB yang terhubung.

Kemudian, malware terhubung ke server Discord yang dikendalikan penyerang, menelepon ke rumah untuk menunggu instruksi baru. Para penyerang menggunakan sesuatu yang disebut discord-c2, sebuah proyek perintah dan kontrol open-source yang menggunakan Discord sebagai titik kontrol untuk perangkat yang terinfeksi. Setelah malware terhubung ke server Discord, penyerang dapat menggunakan berbagai emoji untuk meminta malware, dengan serangkaian parameter berbeda yang tersedia.

Malware yang dikendalikan emoji

foto: freepik/kerfin7

Selain membuatnya lebih ramah pengguna, menggunakan emoji untuk perintah dan komunikasi dapat membantu malware tetap tidak terdeteksi. Tentu saja, Discord mungkin kesulitan mendeteksi bahwa servernya digunakan untuk menjalankan proyek C2 berbahaya jika yang dilakukannya hanyalah mengirim emoji yang umum digunakan.

Cara token Discord dikelola oleh malware mempersulit Discord untuk bertindak melawan server penyerang, karena konfigurasi klien dapat dengan mudah diperbarui oleh penyerang saat diperlukan.

Karena itu untuk tetap aman, malware ini terutama menargetkan distribusi Linux tertentu yang digunakan di lembaga pemerintah, yang berarti kebanyakan orang biasa tidak perlu khawatir. Namun, meski begitu selalu perbarui perangkat, karena kamu tidak pernah tahu ancaman apa yang mungkin muncul selanjutnya.