Bagi para penggiat teknologi dan keamanan siber, nama ElizaRAT belakangan ini cukup ramai dibicarakan. Ini adalah sebuah Trojan Remote Access (RAT) yang dikembangkan oleh kelompok peretas APT36, juga dikenal sebagai Transparent Tribe. Kelompok peretas asal Pakistan ini sudah lama dikenal karena sering menargetkan instansi pemerintah, diplomat, dan fasilitas militer di India. Namun, yang membuat ElizaRAT spesial adalah kemampuannya yang semakin canggih dan serangannya yang kini merambah berbagai platform seperti Windows, Linux, dan Android.

Malware ini pertama kali ditemukan pada tahun 2023 dan terus berevolusi hingga kini. Dengan fitur-fitur baru yang lebih pintar, ElizaRAT menjadi ancaman serius dalam lanskap keamanan dunia maya.

Mengapa ElizaRAT Berbahaya?

Para analis keamanan dari Reco menemukan bahwa ElizaRAT dilengkapi dengan sejumlah kemampuan unik dan canggih yang dirancang untuk menyusup, mencuri data, dan tetap tidak terdeteksi selama mungkin. Beberapa fitur utama dari malware ini antara lain:

• Ditulis dalam .NET dengan modul .NET dan assembly bawaan untuk fleksibilitas.
• Menggunakan file CPL (Control Panel) untuk menjalankan malware secara diam-diam.
• Memanfaatkan layanan cloud populer seperti Google Drive, Telegram, dan Slack untuk mendistribusikan file jahat dan berkomunikasi dengan server pengendali (C2).
• Menggunakan dokumen atau video palsu sebagai pengalih perhatian agar korban tak menyadari ada malware di perangkat mereka.
• Menyisipkan dirinya secara permanen di sistem korban melalui mekanisme seperti IWSHshell.
• Menyimpan data sementara di SQLite untuk menjaga proses tetap terorganisir.
• Membuat ID unik untuk setiap korban, memungkinkan kontrol yang lebih spesifik terhadap perangkat yang diserang.

Semua kemampuan ini dirancang untuk satu tujuan: mengelabui korban dan mencuri data dengan cara yang tidak mudah terdeteksi oleh perangkat keamanan.

Serangan yang Dilakukan: Kampanye Berbasis Cloud

ElizaRAT dilaporkan melakukan serangkaian kampanye serangan yang berbeda, dengan masing-masing memiliki karakteristik dan teknik khusus.

1. Kampanye Slack

Dalam kampanye ini, ElizaRAT menggunakan file bernama SlackAPI.dll untuk menjalankan serangan. Beberapa hal yang mereka lakukan adalah:

• Memanfaatkan API Slack untuk komunikasi dengan server pengendali.
• Mengirim file malware melalui file CPL yang disamarkan.
• Mengecek perintah baru setiap 60 detik.
• Berkomunikasi dengan kanal Slack tertentu untuk mengirim dan menerima data.

2. Kampanye Circle

Dimulai pada Januari 2024, kampanye ini membawa pendekatan yang lebih sulit dideteksi. Fitur utamanya meliputi:

• Menggunakan dropper untuk menyembunyikan malware.
• Beralih dari layanan cloud ke VPS (Virtual Private Server) untuk meningkatkan keamanan operasinya.
• Memastikan korban berada di zona waktu Standar India sebelum melanjutkan serangan.
• Menyimpan informasi korban dalam file tertentu untuk pelacakan lebih lanjut.
• Menggunakan server khusus untuk mencuri dan mengirim data keluar.

3. Kampanye Google Drive

Dalam kampanye ini, ElizaRAT memanfaatkan layanan Google Cloud untuk komunikasi server pengendali (C2). Caranya meliputi:

• Mengunduh file jahat dari berbagai VPS.
• Menggunakan dua file payload utama: extensionhelper_64.dll dan ConnectX.dll.
• Menyamar sebagai perangkat lunak terkenal seperti SpotifyAB.dll untuk menghindari kecurigaan.

Infrastruktur yang Digunakan

Para peneliti juga menemukan bahwa ElizaRAT memiliki jaringan infrastruktur luas untuk mendukung operasinya. Berikut adalah beberapa alamat IP yang terkait dengan aktivitas malware ini:

• 84.247.135.235: Diidentifikasi sebagai berbahaya oleh berbagai vendor keamanan.
• 143.110.179.176: Ditandai sebagai mencurigakan atau berbahaya.
• 64.227.134.248: Digunakan untuk meng-host file DLL jahat.
• 38.54.84.83: Terkait dengan file Circle.dll dan dicurigai melakukan serangan brute force.
• 83.171.248.67: Menghosting layanan rentan dan dilaporkan sebagai ancaman.

Dengan kemampuan untuk memanfaatkan layanan populer seperti Google Drive, Telegram, dan Slack, serta teknik-teknik canggih untuk menghindari deteksi, ElizaRAT menunjukkan bahwa ancaman dunia maya semakin kompleks. Kelompok APT36 sendiri tampaknya terus berinovasi, mengembangkan alat dan strategi baru untuk memaksimalkan pencurian data dan pengintaian mereka.

Bagi organisasi maupun individu, penting untuk meningkatkan kesadaran akan keamanan digital. Langkah-langkah sederhana seperti memperbarui perangkat lunak, menggunakan antivirus, dan berhati-hati terhadap file mencurigakan dapat membantu mengurangi risiko serangan.

Akhirnya, ElizaRAT adalah pengingat bahwa di era digital ini, kita semua perlu lebih waspada. Jangan sampai terlena oleh kemudahan teknologi tanpa memperhatikan sisi keamanannya.