Hanoi memperingatkan malware Valley RAT yang menyamar sebagai 'Draf Resolusi Kongres Partai Nasional ke-14'

Ini adalah tipu muslihat yang memanfaatkan lingkungan politik masyarakat yang luas untuk menyebarkan malware, mencuri informasi dan menimbulkan risiko terhadap keamanan sistem informasi suatu lembaga, organisasi dan individu.

Malware Valley RAT meniru “Draf Resolusi Kongres”

Menurut Departemen Keamanan Siber dan Pencegahan Kejahatan Berteknologi Tinggi (Kepolisian Kota Hanoi ), malware Valley RAT disamarkan dalam sebuah berkas bernama "DRAFT RESOLUTION OF THE CONGRESS.exe". Ketika pengguna membuka berkas tersebut, malware tersebut langsung terinstal ke dalam sistem, berjalan otomatis setiap kali komputer dinyalakan, dan terhubung ke server kontrol (C2) di alamat 27.124.9.13 (porta 5689) yang dikendalikan oleh peretas.

Dari sini, malware dapat melakukan tindakan berbahaya: Mencuri informasi sensitif di komputer pengguna; Mengambil alih kendali komputer; Mencuri akun pribadi dan perusahaan; Mengumpulkan dokumen internal; Terus menyebarkan malware ke perangkat lain dalam sistem yang sama.

Faktor yang membahayakan adalah antarmuka berkas disamarkan agar tampak seperti dokumen administratif sungguhan, sehingga mudah membingungkan pengguna, terutama dalam konteks banyak unit yang mengirim dan menerima dokumen untuk memberi komentar pada dokumen.

Lebih banyak file malware terkait baru ditemukan

Melalui pemindaian yang diperluas, pihak berwenang menemukan lebih banyak berkas berbahaya dengan struktur serupa, yang tampak seperti dokumen administrasi yang sudah dikenal: FINANCIAL REPORT2.exe atau BUSINESS INSURANCE PAYMENT.exe; GOVERNMENT'S URGENT OFFICIAL DISPATCH.exe; TAX DECLARATION SUPPORT.exe; PARTY ACTIVITY EVALUATION DOCUMENT.exe atau AUTHORIZATION FORM.exe; MINUTES OF REPORT FOR the THIRD TRIMESTER.exe

File-file ini diberi nama berdasarkan hal-hal spesifik seperti pekerjaan kantor, keuangan, urusan partai, pajak... sehingga meningkatkan kemungkinan pengguna mengira itu adalah dokumen internal dan membukanya, sehingga menciptakan kondisi yang memungkinkan malware menyebar.

Melalui analisis teknis, Kepolisian Kota Hanoi menilai Valley RAT sangat berbahaya karena memiliki karakteristik yang menjadikannya ancaman besar: Bersembunyi dalam sistem, secara otomatis memulai dengan Windows; Memungkinkan peretas mengendalikan perangkat dari jarak jauh; Mampu mengunduh malware tambahan; Secara otomatis mengumpulkan data sensitif dan mengirimkannya ke server kontrol; Mampu merekam penekanan tombol, mengambil tangkapan layar, mencuri kata sandi yang disimpan di browser; Mudah menyebar dalam sistem jaringan internal...

Banyak lembaga dan organisasi menggunakan email internal, Zalo, dan Facebook Messenger untuk bertukar dokumen, yang secara tidak sengaja menciptakan lingkungan yang mendukung penyebaran malware jika hanya satu mesin dalam sistem yang terinfeksi. Untuk memastikan keamanan informasi, Departemen Keamanan Siber dan Pencegahan Kejahatan Berteknologi Tinggi, Kepolisian Kota Hanoi, telah memberikan rekomendasi khusus:

Jangan membuka atau mengunduh file aneh, file .exe dari email atau jejaring sosial, berhati-hatilah terutama terhadap file dengan ekstensi: .exe; .dll; .bat; .msi... Bahkan jika file tersebut dikirim oleh seorang kenalan (akun tersebut mungkin telah dibajak).

Periksa semua perangkat dan sistem. Jika mendeteksi tanda-tanda yang tidak biasa, pengguna harus segera memutuskan sambungan internet; Jangan terus menggunakan perangkat; Laporkan ke pihak berwenang atau Pusat Keamanan Siber Nasional (NCSC).

Pindai sistem dengan perangkat lunak keamanan tepercaya. Organisasi dan individu perlu secara proaktif memasang perangkat lunak antivirus dan antimalware seperti: Avast (gratis); AVG (gratis); Bitdefender (gratis); Windows Defender (pembaruan terbaru). Kepolisian Hanoi mencatat bahwa perangkat lunak antivirus Kaspersky gratis belum mendeteksi jenis malware ini.

Pindai tanda-tanda serangan secara manual. Selain menggunakan perangkat lunak antivirus dan firewall, pengguna perlu menggunakan Process Explorer untuk melihat proses-proses aneh tanpa tanda tangan digital; gunakan TCPView untuk memeriksa koneksi; jika Anda melihat koneksi ke IP 27.124.9.13, Anda harus segera menanganinya.

Administrator sistem perlu segera memblokir IP berbahaya tersebut. Pengguna perlu mengonfigurasi firewall untuk memblokir semua akses ke IP 27.124.9.13 guna mencegah malware terhubung ke server kontrol.

Perkuat peringatan internal. Unit-unit perlu segera memberi tahu petugas dan karyawan untuk sama sekali tidak membuka dokumen "terlampir" terkait komentar dokumen jika sumbernya tidak dapat diverifikasi.

Masyarakat perlu mendapatkan informasi peringatan resmi, ikuti anjuran dari: Kementerian Keamanan Publik ; Kementerian Informasi dan Komunikasi; Kepolisian Daerah; Jangan membagikan berkas mencurigakan di media sosial untuk menghindari penyebaran; Tingkatkan kewaspadaan untuk melindungi keamanan jaringan nasional

Kemunculan malware Valley RAT tepat pada saat komentar pada draf dokumen Kongres Partai Nasional ke-14 menunjukkan bahwa penyerang dunia maya benar-benar mengeksploitasi kepercayaan pengguna terhadap dokumen politik dan administratif.

Keamanan informasi bukan hanya tanggung jawab badan-badan khusus, tetapi juga kewajiban setiap individu yang menggunakan perangkat digital. Identifikasi yang tepat, tindakan cepat, dan pelaporan yang tepat waktu akan berkontribusi signifikan dalam melindungi sistem informasi nasional dan menjaga keamanan di dunia maya.