Infografis
Skrip berjalan tanpa henti mencoba mengunduh tahap berikutnya dari rantai infeksi yang juga merupakan skrip Python.
Tujuan dari payload berikutnya adalah untuk menjalankan perintah sewenang-wenang yang diterima dari server.
Meskipun tidak ada perintah yang diterima selama penyelidikan dan backdoor diperbarui secara berkala, terbukti bahwa kampanye malware masih dalam pengembangan.
Kode tersebut menunjukkan bahwa perintah tersebut kemungkinan besar merupakan skrip Python yang dikodekan.
Terlepas dari fungsi yang disebutkan, skrip berisi dua fitur penting yang melibatkan domain apple-analyzer[.]com.
Kedua fungsi tersebut bertujuan untuk memeriksa keberadaan aplikasi dompet asset kripto dan menggantinya dengan versi yang diunduh dari domain yang ditentukan.
Taktik ini terlihat menargetkan dompet Bitcoin dan Exodus, mengubah aplikasi ini menjadi entitas berbahaya.
“Penjahat dunia maya menggunakan aplikasi bajakan untuk mengakses komputer pengguna dengan mudah dan mendapatkan hak istimewa admin dengan meminta mereka memasukkan kata sandi," ungkap Sergey Puzan, peneliti keamanan di Kaspersky.
Menurutnya, pembuatnya menunjukkan kreativitas yang tidak biasa dengan menyembunyikan skrip Python dalam catatan server DNS, sehingga meningkatkan tingkat kerahasiaan malware dalam lalu lintas jaringan.
Baca Juga: Kliring Komoditi Indonesia dan Kustodian Koin Indonesia Dapat Izin Operasi dari Bappebti
"Hindari melakukan pengunduhan dari situs mencurigakan dan gunakan solusi keamanan siber tepercaya untuk perlindungan yang lebih baik,” tutup dia.
