Kamis, 20 Jun 2019 13:33 WIB

Plurox, Malware 'Paket Kombo' Isi Backdoor Sampai Cryptominer

Anggoro Suryo Jati - detikInet
Foto: Istimewa/Zdnet Foto: Istimewa/Zdnet
Jakarta - Sebuah malware jenis baru bernama Plurox baru-baru ini ditemukan oleh tim keamanan Kaspersky. Bagaikan sebuah "paket kombo", ia punya fitur jahat komplet mulai dari backdoor sampai cryptominer.

Kaspersky mengakui kalau Plurox ini adalah malware yang tak biasa, karena mempunyai fitur canggih seperti bisa berfungsi sebagai backdoor untuk menginfeksi jaringan enterprise. Kemudian, ia bisa menyebar ke sistem lain bagaikan worm, dan bisa menambang cryptocurrency menggunakan satu dari delapan plugin yang ada.

Secara singkat, Plurox adalah malware yang bisa berfungsi sebagai trojan backdoor, virus yang bisa menyebar secara mandiri, dan juga sebuah penambang cryptocurrency, dan semuanya bisa dilakukan dalam waktu bersamaan.




Plurox, yang pertama ditemukan pada Februari lalu, bisa mempunyai bermacam fitur karena ia dibuat secara modular, demikian dikutip detikINET dari Zdnet, Kamis (20/6/2019).

Inti dari malware ini terdiri dari sebuah komponen inti yang membuat bot Plurox (sistem yang sudah terinfeksi) bisa berkomunikasi dengan server pusat tempat mengontrol malware ini.

Komponen untuk berkomunikasi inilah yang menjadi inti dari malware Plurox. Menurut Kaspersky, pembuat Plurox menggunakan komponen ini untuk mengunduh file dari korban ataupun menjalankan skrip-skrip lain pada korbannya. Skrip tambahan ini bernama plugin, dan berisikan kebanyakan fitur-fitur malwarenya.

Kaspersky mengaku menemukan ada delapan plugin yang dikhususkan untuk penambangan cryptocurrency, di mana setiap plugin itu berfokus pada penambangan menggunakan CPU/GPU pada konfigurasi hardware yang berbeda.

Meski Plurox punya banyak kemampuan, namun kegunaan utama malware ini adalah menambang cryptocurrency.

"Saat memantau aktivitas malware, kami mendeteksi adanya dua subnets," ujar Anton Kuzmenko, peneliti keamanan Kaspersky.

Dalam salah satu subnetnya, bot Plurox hanya menerima modul penambang, lalu pada subnet keduanya, semua modul tersedia untuk diunduh.

Kegunaan dua kanal komunikasi yang berbeda ini tak diketahui, namun hal ini menunjukkan kalau fitur utama yang diaktifkan pada kedua subnet itu adalah penambangan cryptocurrency, yang memunculkan asumsi bahwa inilah tujuan utama dari Plurox.

Ada komponen buatan NSA

Dalam salah satu plugin di Plurox, Kaspersky menemukan sebuah exploit bernama SMB yang merupakan modifikasi dari EternalBlue, sebuah exploit yang dikembangkan oleh NSA, yang kemudian bocor ke publik oleh grup hacker misterius pada 2017 lalu.

Memang, EternalBlue ini adalah exploit yang terbilang populer dan banyak dipakai di malware lainnya, jadi tak aneh jika exploit ini ditemukan di Plurox. Beberapa bagian dari exploit ini terlihat hasil kopian dari plugin SMB yang digunakan oleh malware Trickster.

Fungsi dari SMB ini adalah membuat si penyerang bisa memindai jaringan lokal da kemudian menyebarkan malware itu ke workstation yang terlihat mempunyai celah keamanan melalui protokol SMB.

"Dari sini kita bisa berasumsi kalau sampel yang sudah dianalisa ini diambil dari source code yang sama. Artinya pembuat Plurox dan Trickter mungkin saja ada hubungannya," tambah Kuzmenko.


(asj/krs)