Waspada! Malware Berbasis Golang Manfaatkan Telegram sebagai C2

Dunia keamanan siber kembali dihebohkan dengan penemuan malware baru berbasis Golang yang menggunakan Telegram Bot API sebagai mekanisme command-and-control (C2). Malware ini diyakini berasal dari Rusia dan memiliki kemampuan untuk menjalankan perintah dari jarak jauh melalui aplikasi perpesanan populer, Telegram.

Menurut laporan yang dirilis oleh Netskope Threat Labs, malware ini masih dalam tahap pengembangan tetapi sudah memiliki fungsionalitas yang cukup untuk digunakan dalam serangan siber. Dengan memanfaatkan library open-source yang menghubungkan Golang dengan Telegram, malware ini mampu mengontrol sistem yang terinfeksi dengan tingkat deteksi yang rendah.

Dalam artikel ini, kita akan membahas secara mendalam bagaimana backdoor ini bekerja, indikasi asal-usulnya, serta langkah-langkah yang dapat diambil untuk mencegah dan mengatasinya.

Cara Kerja Malware Berbasis Golang Ini
Salah satu karakteristik unik dari malware ini adalah caranya dalam menyembunyikan jejak dan mempertahankan keberadaannya di sistem yang terinfeksi. Saat pertama kali dieksekusi, malware akan:

1. Memeriksa Lokasi dan Nama File
   
   • Malware ini akan mengecek apakah dirinya berjalan di lokasi berikut:
     
     •  "C:\Windows\Temp\svchost.exe"
   • Jika tidak ditemukan, malware akan menyalin dirinya sendiri ke lokasi tersebut, kemudian menjalankan salinan barunya sebelum menutup proses aslinya.
2. Memanfaatkan Telegram sebagai C2
   
   • Salah satu aspek yang membuat malware ini sulit dideteksi adalah penggunaannya terhadap Telegram Bot API.
   • Dengan mengandalkan Telegram, malware ini bisa berkomunikasi dengan server C2 milik penyerang tanpa harus menggunakan infrastruktur server tradisional yang lebih mudah dilacak oleh sistem keamanan.
3. Mendukung Berbagai Perintah Jarak Jauh
   
   • Malware ini dapat menerima perintah dari chat Telegram yang dikendalikan oleh penyerang. Saat ini, terdapat empat perintah utama yang didukung, meskipun hanya tiga yang sudah diimplementasikan:
     
     • /cmd: Menjalankan perintah melalui PowerShell
     • /persist: Memastikan malware tetap aktif dengan menyimpannya di "C:\Windows\Temp\svchost.exe"
     • /screenshot: (Belum diimplementasikan)
     • /selfdestruct: Menghapus dirinya sendiri dari sistem
   • Setelah menjalankan perintah, malware akan mengirimkan hasilnya kembali ke saluran Telegram yang dikendalikan oleh penyerang.
4. Indikasi Pengembangan Lebih Lanjut
   
   • Meski perintah /screenshot belum berfungsi, malware tetap mengirimkan pesan ke Telegram dengan teks "Screenshot captured", menandakan bahwa fitur ini mungkin akan dikembangkan lebih lanjut di masa depan.

Indikasi Asal-Usul Malware dari Rusia
Salah satu bukti kuat bahwa malware ini berasal dari Rusia adalah perintah /cmd yang menginstruksikan korban untuk memasukkan perintah dalam bahasa Rusia.

Pesan yang dikirim ke chat Telegram setelah perintah ini dijalankan berbunyi: "Masukkan perintah:" (dalam bahasa Rusia).

Penggunaan Telegram sebagai infrastruktur C2 bukanlah hal baru dalam dunia keamanan siber. Menurut Leandro Fróes, seorang peneliti keamanan dari Netskope, aplikasi berbasis cloud seperti Telegram semakin sering dimanfaatkan oleh peretas karena kemudahan penggunaannya dan sulitnya deteksi oleh sistem keamanan tradisional.

"Mudahnya mengatur dan menggunakan aplikasi seperti ini menjadi salah satu alasan mengapa penyerang memanfaatkannya dalam berbagai tahap serangan." Ungkap Leandro Fróes
 
Mengapa Telegram Digunakan sebagai C2?
Penggunaan Telegram sebagai command-and-control (C2) dalam serangan siber memiliki beberapa keunggulan dibandingkan dengan metode konvensional seperti server khusus atau domain yang dibuat secara khusus untuk C2.

• Anonimitas Lebih Baik: Telegram memungkinkan penyerang berkomunikasi tanpa harus menggunakan alamat IP yang dapat ditelusuri.
• Tidak Memerlukan Infrastruktur Khusus: Tidak seperti metode C2 lainnya, menggunakan Telegram menghilangkan kebutuhan akan server khusus, mengurangi jejak digital.
• Sulit Diblokir: Sebagai aplikasi yang sah dan banyak digunakan, memblokir Telegram sepenuhnya di jaringan perusahaan sering kali tidak memungkinkan.
• Enkripsi dan Keamanan: Telegram menggunakan enkripsi end-to-end, yang membuat komunikasi antara malware dan penyerang lebih sulit untuk dideteksi.

Namun, bagi tim keamanan, tren ini menjadi tantangan besar karena mereka harus mencari cara baru untuk mendeteksi dan menghentikan komunikasi ilegal yang memanfaatkan aplikasi perpesanan populer ini.

Dampak dan Ancaman yang Ditimbulkan
Keberadaan malware ini menandakan adanya ancaman siber yang semakin canggih, terutama dalam penggunaan teknologi berbasis cloud untuk menghindari deteksi. Dampak yang dapat ditimbulkan oleh malware berbasis Golang ini meliputi:

• Pencurian Data: Penyerang bisa mendapatkan akses ke sistem korban dan mencuri data penting.
• Penyebaran Lebih Luas: Dengan fungsionalitas yang terus berkembang, malware ini bisa digunakan untuk menyebarkan serangan lebih besar di masa depan.
• Sulit Dideteksi: Karena menggunakan Telegram, aktivitas malware ini mungkin tidak akan terdeteksi oleh firewall atau sistem keamanan yang tidak memantau lalu lintas aplikasi perpesanan.
• Kemungkinan Dikembangkan Lebih Lanjut: Fitur seperti pengambilan tangkapan layar (screenshot) yang belum diimplementasikan menunjukkan bahwa malware ini masih dalam pengembangan dan mungkin akan memiliki fitur lebih canggih di versi berikutnya.

Cara Mencegah dan Mengatasi Ancaman Ini
Untuk melindungi sistem dari ancaman backdoor berbasis Golang ini, organisasi dan individu dapat mengambil langkah-langkah berikut:

• Blokir komunikasi yang mencurigakan melalui Telegram API di jaringan perusahaan untuk mencegah malware berkomunikasi dengan penyerangnya.
• Pantau aktivitas proses yang mencurigakan, terutama yang mencoba menjalankan file di "C:\Windows\Temp".
• Gunakan solusi keamanan canggih yang mampu mendeteksi malware berbasis Golang serta metode komunikasi non-tradisional seperti Telegram API.
• Terapkan kebijakan keamanan ketat dengan membatasi instalasi perangkat lunak tidak sah dan mengontrol akses ke aplikasi berbasis cloud.
• Lakukan pemantauan lalu lintas jaringan secara real-time untuk mendeteksi pola komunikasi mencurigakan yang terhubung dengan Telegram.
• Gunakan endpoint protection dan threat intelligence untuk mengidentifikasi serta mencegah ancaman sebelum menyebar lebih luas.

 
Penemuan backdoor berbasis Golang ini membuktikan bahwa ancaman siber semakin berkembang dengan memanfaatkan teknologi yang sah seperti Telegram untuk menjalankan serangan. Penggunaan Telegram Bot API sebagai mekanisme C2 membuat malware ini lebih sulit dideteksi dan menunjukkan tren baru dalam dunia cybercrime.

Meskipun masih dalam tahap pengembangan, malware ini sudah memiliki fungsionalitas yang cukup untuk menimbulkan ancaman serius bagi individu maupun organisasi. Oleh karena itu, diperlukan kewaspadaan yang lebih tinggi serta penerapan langkah-langkah keamanan yang ketat guna mencegah dan memitigasi dampak dari serangan ini.

Dengan memahami bagaimana malware ini bekerja dan mengambil tindakan pencegahan yang tepat, kita dapat melindungi sistem dari ancaman siber yang semakin canggih.