Dalam beberapa minggu terakhir, peneliti keamanan menemukan kampanye serangan canggih yang memanfaatkan Remote Access Trojan (RAT) baru bernama MostereRAT. Malware ini menyasar sistem Windows dengan cara unik menggunakan aplikasi remote access yang sah seperti AnyDesk dan TightVNC untuk membuka akses penuh ke perangkat korban.
Baca Juga : OpenAI Gandeng Broadcom untuk Produksi Chip AI Sendiri
Temuan ini menjadi peringatan penting karena MostereRAT bukan sekadar trojan biasa. Ia menggabungkan teknik rekayasa sosial dengan metode evasion tingkat lanjut, sehingga bisa menguasai sistem tanpa terdeteksi.
Modus Serangan
Awal mula infeksi datang dari email phishing yang didesain menyerupai komunikasi bisnis resmi. Korban diarahkan ke situs berbahaya yang menyimpan dokumen Word. Sekilas terlihat normal, tapi dokumen ini mengandung arsip tersembunyi.
Begitu dibuka, file tersebut otomatis menginstal komponen RAT tanpa memicu alarm pada antivirus standar.
Para pengembang MostereRAT menggunakan metode multi-stage delivery. Eksekusi awal berupa file document.exe berperan sebagai loader, yang kemudian mendekripsi modul lain dari dalam resource section.
Dekripsi dilakukan dengan metode sederhana, yaitu subtraction cipher menggunakan karakter “A” sebagai kunci:
for (size_t i = 0; i < length; ++i) {
decrypted[i] = encrypted[i] – 0x41;
}
Meski tampak sederhana, cara ini cukup efektif menyembunyikan logika RAT dari analisis cepat.
Teknik Lanjutan
Hasil analisis menunjukkan bahwa MostereRAT mengekstrak modul ke folder C:\ProgramData\Windows, lalu mengatur layanan sistem khusus dengan hak SYSTEM privileges.
Modul maindll.db berfungsi mengelola persistence, privilege escalation, dan manipulasi task scheduler, sementara elsedll.db menangani keylogger, screenshot, hingga pemasangan RMM tool lewat TightVNC dan AnyDesk.
Agar komunikasi tetap aman, MostereRAT menggunakan protokol mTLS (mutual TLS) untuk koneksi C2 (command-and-control). Ini membuat lalu lintas data terenkripsi dua arah, sulit dicegat, dan mencegah impersonasi.
Lebih jauh lagi, RAT ini menginstal dua layanan tambahan:
- WpnCoreSvc (auto-start) → memastikan malware aktif setiap kali sistem reboot.
- WinSvc_32263003 (demand start) → memungkinkan pengendalian sesuai permintaan penyerang.
Menonaktifkan Keamanan Windows
Ancaman ini makin berbahaya karena MostereRAT menonaktifkan beberapa layanan penting Windows, seperti:
- SecurityHealthService.exe
- wuauserv (Windows Update)
- UsoSvc
Selain itu, malware juga memodifikasi registry policy agar pembaruan sistem terhenti dan notifikasi keamanan disembunyikan. Dengan begitu, sistem tetap dikuasai tanpa menimbulkan kecurigaan dari antivirus maupun EDR.
Mekanisme Update Otomatis
Setelah berhasil terkoneksi ke server C2 melalui port 9001 dan 9002, MostereRAT rutin mengambil file konfigurasi yang dienkripsi dengan RSA private key.
Proses update dilakukan setelah verifikasi SHA-256 hash, sehingga malware bisa memperbarui dirinya sendiri secara mulus tanpa gangguan. Hal ini membuatnya lebih tahan lama dan sulit diberantas.
Baca Juga : Rekomendasi Aplikasi Project Management untuk Semua Jenis Proyek
Kemunculan MostereRAT menunjukkan tingkat evolusi baru dalam dunia malware. Dengan memanfaatkan software remote access legal seperti AnyDesk dan TightVNC, ancaman ini semakin sulit dilacak.
Karena itu, edukasi pengguna dan monitoring menyeluruh sangat penting. Jangan mudah percaya email bisnis mencurigakan, selalu lakukan update sistem, dan gunakan solusi keamanan yang mampu mendeteksi aktivitas abnormal.
MostereRAT adalah pengingat bahwa serangan siber makin canggih dan pertahanan kita juga harus ikut berkembang.
