Peneliti di perusahaan keamanan siber ESET menemukan cara baru menyusul malware dengan menggunakan update aplikasi produktivitas WPS Office.https://ototekno.okezone.com/read/2024/01/29/54/2962372/hati-hati-malware-nspx30-menyusup-via-update-wps-officeidhttps://ototekno.okezone.com/read/2024/01/29/54/2962372/hati-hati-malware-nspx30-menyusup-via-update-wps-officehttps://ototekno.okezone.com/read/2024/01/29/54/2962372/hati-hati-malware-nspx30-menyusup-via-update-wps-officeSenin 29 Januari 2024 17:30 WIBTangguh YudhaIlustrasi malware yang menyusup melalui update WPS Office. (Foto: Ilustrasi)https://img.okezone.com/content/2024/01/29/54/2962372/hati-hati-malware-nspx30-menyusup-via-update-wps-office-PLshPrWlib.jpgJAKARTA - Peneliti di perusahaan keamanan siber ESET menemukan cara baru menyusul malware dengan menggunakan update aplikasi produktivitas WPS Office. Menggunakan update aplikasi WPS Office mereka mampu menyisipkan malware canggih, NSPX30. Selain disebar melalui update WPS Office, malwarejuga bisa dikirm lewat platform pesan instan Tencent QQ, dan editor dokumen Sogou Pinyin. Serangan menargetkan pengguna yang berada di China, Jepang, dan Inggris. NSPX30 merupakan malware berbahaya yang sudah eksis sejak 2018 . Dipercaya malware dikampanyekan kelompok yang berafiliasi dengan pemerintah negara China. NSPX30 adalah implan canggih berdasarkan kode dari pintu belakang bernama 'Project Wood' yang memiliki kemampuan dasar mengumpulkan data sistem, keylogging, dan mengambil tangkapan layar. BACA JUGA: Awal Tahun 2024, Hati Hati Ancaman Malware Ganas Intai Windows Fungsi utama NSPX30 adalah mengumpulkan informasi dari sistem yang dibobol, termasuk file, tangkapan layar, penekanan tombol, data perangkat keras dan jaringan, serta kredensial, melansir dari Bleeping Computer, Senin(29/1/2024). Menurut para peneliti, pelaku ancaman melakukan serangan AitM dan mencegat lalu lintas yang dihasilkan oleh NSPX30 untuk menyembunyikan aktivitasnya dan menyembunyikan server perintah dan kontrol (C2).ESET juga mencatat Blackwood mungkin berbagi akses dengan grup APT Tiongkok lainnya, karena mereka mengamati sistem satu perusahaan menjadi sasaran perangkat yang terkait dengan banyak aktor. Aspek penting dari aktivitas Blackwood adalah kemampuan menghadirkan NSPX30 dengan membajak permintaan pembaruan yang dibuat perangkat lunak sah, termasuk Tencent QQ, WPS Office, dan Sogou Pinyin. BACA JUGA: Pemerintah India Waspadai Malware yang Serang Pengguna Android Namun hal ini berbeda dengan kompromi rantai pasokan, karena Blackwood menyadap komunikasi HTTP yang tidak terenkripsi antara sistem korban dan server pembaruan dan melakukan intervensi untuk mengirimkan implan. Mekanisme pasti yang memungkinkan Blackwood mencegat lalu lintas tersebut tidak diketahui. ESET berspekulasi bahwa hal ini mungkin dilakukan dengan menggunakan implan di jaringan target, mungkin pada peralatan yang rentan seperti router atau gateway. BACA JUGA: Begini 5 Tanda Komputer Anda Sudah Terkena Virus dan Malware Berdasarkan analisis para peneliti, mereka percaya bahwa back door asli yang menjadi akar evolusi implan khusus NSPX30 tampaknya telah dikembangkan oleh pengembang malware yang handal.JAKARTA - Peneliti di perusahaan keamanan siber ESET menemukan cara baru menyusul malware dengan menggunakan update aplikasi produktivitas WPS Office. Menggunakan update aplikasi WPS Office mereka mampu menyisipkan malware canggih, NSPX30. Selain disebar melalui update WPS Office, malwarejuga bisa dikirm lewat platform pesan instan Tencent QQ, dan editor dokumen Sogou Pinyin. Serangan menargetkan pengguna yang berada di China, Jepang, dan Inggris. NSPX30 merupakan malware berbahaya yang sudah eksis sejak 2018 . Dipercaya malware dikampanyekan kelompok yang berafiliasi dengan pemerintah negara China. NSPX30 adalah implan canggih berdasarkan kode dari pintu belakang bernama 'Project Wood' yang memiliki kemampuan dasar mengumpulkan data sistem, keylogging, dan mengambil tangkapan layar. BACA JUGA: Awal Tahun 2024, Hati Hati Ancaman Malware Ganas Intai Windows Fungsi utama NSPX30 adalah mengumpulkan informasi dari sistem yang dibobol, termasuk file, tangkapan layar, penekanan tombol, data perangkat keras dan jaringan, serta kredensial, melansir dari Bleeping Computer, Senin(29/1/2024). Menurut para peneliti, pelaku ancaman melakukan serangan AitM dan mencegat lalu lintas yang dihasilkan oleh NSPX30 untuk menyembunyikan aktivitasnya dan menyembunyikan server perintah dan kontrol (C2).ESET juga mencatat Blackwood mungkin berbagi akses dengan grup APT Tiongkok lainnya, karena mereka mengamati sistem satu perusahaan menjadi sasaran perangkat yang terkait dengan banyak aktor. Aspek penting dari aktivitas Blackwood adalah kemampuan menghadirkan NSPX30 dengan membajak permintaan pembaruan yang dibuat perangkat lunak sah, termasuk Tencent QQ, WPS Office, dan Sogou Pinyin. BACA JUGA: Pemerintah India Waspadai Malware yang Serang Pengguna Android Namun hal ini berbeda dengan kompromi rantai pasokan, karena Blackwood menyadap komunikasi HTTP yang tidak terenkripsi antara sistem korban dan server pembaruan dan melakukan intervensi untuk mengirimkan implan. Mekanisme pasti yang memungkinkan Blackwood mencegat lalu lintas tersebut tidak diketahui. ESET berspekulasi bahwa hal ini mungkin dilakukan dengan menggunakan implan di jaringan target, mungkin pada peralatan yang rentan seperti router atau gateway. BACA JUGA: Begini 5 Tanda Komputer Anda Sudah Terkena Virus dan Malware Berdasarkan analisis para peneliti, mereka percaya bahwa back door asli yang menjadi akar evolusi implan khusus NSPX30 tampaknya telah dikembangkan oleh pengembang malware yang handal.