Operasi Penambangan Crypto dengan Lure ISO Sebar RAT dan Miner Terungkap

Peneliti keamanan baru-baru ini mengungkap sebuah operasi penambangan kripto yang menggunakan lure berformat ISO untuk menyebarkan Remote Access Trojan (RAT) dan perangkat lunak penambang (miner) sejak November 2023. Operasi yang diberi nama kode REF1695 ini menunjukkan modus operandi yang menggabungkan teknik malware canggih dan penipuan untuk menghasilkan keuntungan finansial secara konsisten.

Modus Operandi REF1695: Lure ISO dan Penyebaran Malware

Menurut analisis dari Elastic Security Labs yang dilakukan oleh Jia Yu Chan, Cyril François, dan Remco Sprooten, pelaku menggunakan file ISO palsu sebagai vektor infeksi. File ini berisi installer palsu yang memuat loader .NET yang dilindungi .NET Reactor, serta sebuah file teks yang berisi instruksi eksplisit bagi korban untuk melewati proteksi Microsoft Defender SmartScreen dengan mengklik "More info" dan "Run anyway" agar aplikasi dapat berjalan.

Loader ini bertugas menjalankan PowerShell yang mengatur pengecualian luas pada Microsoft Defender Antivirus sehingga aktivitas berbahaya dapat berjalan tanpa terdeteksi. Sementara itu, korban hanya akan melihat pesan error palsu: "Tidak dapat meluncurkan aplikasi. Sistem Anda mungkin tidak memenuhi spesifikasi yang diperlukan. Silakan hubungi dukungan."

CNB Bot dan Payload Lanjutan

Loader tersebut kemudian menjalankan sebuah implant .NET baru yang belum terdokumentasi sebelumnya, CNB Bot. Bot ini berfungsi sebagai loader multifungsi yang dapat mengunduh payload tambahan, memperbarui dirinya sendiri, menghapus jejak aktivitas, serta berkomunikasi dengan server Command and Control (C2) melalui HTTP POST.

Selain CNB Bot, kampanye ini juga menyebarkan malware lain seperti PureRAT, PureMiner, dan sebuah loader XMRig berbasis .NET yang dikustomisasi. Loader XMRig ini mengakses URL yang telah ditentukan untuk mengunduh konfigurasi penambangan dan menjalankan proses mining kripto.

Abuse Driver WinRing0x64.sys untuk Optimasi Penambangan

Mirip dengan kampanye FAUX#ELEVATE yang sebelumnya terdeteksi, pelaku juga memanfaatkan driver Windows kernel "WinRing0x64.sys" yang sah dan rentan untuk mendapatkan akses tingkat kernel ke perangkat keras dan melakukan modifikasi pengaturan CPU demi meningkatkan hash rate penambangan. Teknik ini sudah dikenal dan digunakan dalam berbagai kampanye cryptojacking sejak pertengahan 2019.

Selain itu, kampanye lain yang diamati menggunakan SilentCryptoMiner, yang tidak hanya menghindari deteksi dengan memanfaatkan panggilan sistem langsung, tapi juga menonaktifkan mode Sleep dan Hibernate Windows, serta menetapkan persistence dengan scheduled task. Driver "WinRing0.sys" juga digunakan untuk mengoptimalkan CPU dalam aktivitas mining.

Teknik Pengelakan dan Monetisasi Ganda

Selain cryptomining, pelaku juga mengoptimalkan keuntungan dengan melancarkan penipuan CPA (Cost Per Action), yakni mengarahkan korban ke halaman konten berbayar yang menyamar sebagai registrasi perangkat lunak. Teknik ini menambah lapisan monetisasi dari setiap infeksi yang berhasil.

Salah satu elemen penting kampanye ini adalah proses watchdog yang menjamin agar malware dan mekanisme persistence tetap aktif dengan memulihkan diri apabila ada yang terhapus. Hal ini semakin memperkuat keberlangsungan operasi penambangan dan infeksi.

Hasil Finansial dan Infrastruktur Pelaku

Diperkirakan, operasi REF1695 telah mengumpulkan 27,88 XMR atau sekitar $9.392 yang tersebar di empat dompet kripto yang dipantau. Ini menunjukkan operasi ini tidak hanya berkelanjutan tapi juga menghasilkan keuntungan nyata bagi pelaku.

Menariknya, pelaku juga memanfaatkan platform terpercaya seperti GitHub sebagai CDN untuk mendistribusikan payload mereka. Dengan meng-host binary staged di akun-akun GitHub, mereka memindahkan beban unduh dan eksekusi dari infrastruktur yang dikendalikan operator ke platform yang dipercaya, sehingga mengurangi kemungkinan terdeteksi oleh sistem keamanan.

Analisis Redaksi

Menurut pandangan redaksi, operasi REF1695 menunjukkan tren perkembangan malware yang semakin canggih dan menggabungkan berbagai teknik penyebaran dan monetisasi dalam satu kampanye terpadu. Penggunaan lure ISO dengan instruksi eksplisit untuk melewati proteksi Windows menunjukkan bahwa pelaku menyasar pengguna awam yang mudah tertipu oleh pesan error palsu.

Selain itu, pemanfaatan platform tepercaya seperti GitHub sebagai CDN memperlihatkan inovasi teknik pengelakan yang membuat penanggulangan malware semakin menantang. Ini menuntut peningkatan kesadaran pengguna dan adaptasi teknologi keamanan yang mampu mendeteksi aktivitas mencurigakan meski berasal dari sumber yang sah.

Ke depannya, penting untuk terus memantau evolusi teknik abuse driver kernel yang memungkinkan malware mendapatkan akses tingkat rendah ke perangkat keras. Hal ini berpotensi membuka celah eksploitasi yang lebih luas dan sulit dideteksi.

Pengguna disarankan untuk selalu berhati-hati saat mengunduh file, khususnya dari sumber tidak resmi, dan memastikan sistem keamanan seperti Microsoft Defender diperbarui dan dikonfigurasi dengan benar. Organisasi juga harus meningkatkan mekanisme keamanan endpoint dan melakukan edukasi agar pengguna tidak mudah terjebak dalam modus serangan seperti ini.

Untuk informasi lebih lanjut dan pembaruan terkini tentang keamanan siber dan malware, ikuti terus berita eksklusif yang kami sajikan.