Waspada! DEEP#DOOR Intai Kredensial Browser dan Cloud

Dunia keamanan siber kembali dikejutkan dengan temuan malware baru yang canggih dan sulit dideteksi. Peneliti mengungkap sebuah framework backdoor berbasis Python bernama DEEP#DOOR, yang dirancang untuk menyusup secara diam-diam ke dalam sistem korban, mempertahankan akses dalam jangka panjang, serta mencuri berbagai data sensitif, termasuk kredensial browser dan layanan cloud.

Temuan ini menegaskan bahwa pelaku kejahatan siber terus mengembangkan teknik serangan yang semakin kompleks, sekaligus lebih sulit dilacak oleh sistem keamanan konvensional.

Modus Serangan Dimulai dari Skrip Sederhana

Rantai infeksi DEEP#DOOR dimulai dari eksekusi sebuah skrip batch bernama install_obf.bat. Meski terlihat sederhana, skrip ini memiliki peran krusial sebagai pintu masuk malware. Begitu dijalankan, skrip akan menonaktifkan sejumlah fitur keamanan pada sistem operasi Windows, membuka jalan bagi proses infeksi berikutnya.

Setelah itu, skrip akan mengekstrak payload Python tersembunyi bernama svc.py yang telah disisipkan sebelumnya. Payload ini kemudian dijalankan untuk mengaktifkan berbagai fungsi berbahaya di dalam sistem.

Tidak berhenti di situ, malware juga langsung membangun mekanisme bertahan (persistence). Caranya beragam, mulai dari menambahkan skrip ke folder Startup, membuat entri pada Registry Run, hingga menjadwalkan tugas otomatis (scheduled tasks) dan memanfaatkan Windows Management Instrumentation (WMI). Dengan teknik ini, malware tetap aktif bahkan setelah komputer di-restart.

Penyebaran Diduga Melalui Phishing

Peneliti dari Securonix menyebutkan bahwa metode distribusi malware ini kemungkinan besar menggunakan teknik phishing, yang masih menjadi salah satu metode paling efektif dalam serangan siber.

Meski demikian, hingga saat ini belum ada bukti kuat bahwa DEEP#DOOR telah digunakan dalam serangan berskala besar. Analisis sementara menunjukkan bahwa malware ini cenderung digunakan secara terbatas dan lebih tertarget, bukan disebarkan secara massal.

Menariknya, para peneliti juga belum menemukan pola spesifik terkait wilayah geografis atau sektor industri yang menjadi sasaran utama. Namun, karena sifatnya yang modular, malware ini berpotensi dikembangkan lebih lanjut oleh pelaku ancaman untuk berbagai jenis serangan di masa depan.

Teknik Canggih Minim Jejak

Salah satu keunggulan utama DEEP#DOOR adalah cara penyisipan payload yang tidak biasa. Alih-alih mengunduh komponen tambahan dari server eksternal, malware ini menyematkan langsung payload Python ke dalam skrip dropper.

Pendekatan ini memiliki dua keuntungan besar. Pertama, mengurangi kebutuhan komunikasi dengan server luar yang biasanya dapat terdeteksi oleh sistem keamanan. Kedua, meminimalkan jejak digital (forensic footprint), sehingga lebih sulit dianalisis oleh tim keamanan.

Setelah aktif, malware akan membangun koneksi ke layanan tunneling berbasis Rust bernama bore[.]pub. Layanan ini digunakan sebagai jalur komunikasi antara sistem korban dan operator serangan (command-and-control/C2).

Dengan memanfaatkan layanan tunneling publik, pelaku tidak perlu membangun infrastruktur server sendiri. Selain itu, lalu lintas jaringan berbahaya dapat “menyatu” dengan trafik normal, sehingga semakin sulit dideteksi.

Melalui koneksi ini, penyerang dapat menjalankan berbagai aksi berbahaya, di antaranya:

• Mengakses sistem dari jarak jauh (reverse shell)
• Mengumpulkan informasi perangkat
• Merekam aktivitas keyboard (keylogging)
• Memantau clipboard
• Mengambil tangkapan layar
• Mengakses webcam dan mikrofon
• Mencuri data login browser
• Mengekstrak kunci SSH
• Mengambil kredensial dari browser seperti Google Chrome dan Mozilla Firefox
• Mengakses data di Windows Credential Manager
• Mencuri kredensial cloud dari layanan seperti Amazon Web Services, Google Cloud, dan Microsoft Azure

Kemampuan ini menjadikan DEEP#DOOR sebagai alat spionase digital yang sangat berbahaya.

Dibekali Banyak Teknik Anti-Deteksi

Untuk menghindari deteksi, DEEP#DOOR dilengkapi berbagai teknik canggih. Malware ini mampu mendeteksi lingkungan analisis seperti sandbox, debugger, hingga mesin virtual (VM), yang biasa digunakan oleh peneliti keamanan.

Selain itu, malware juga memanipulasi berbagai mekanisme keamanan Windows, termasuk AMSI (Antimalware Scan Interface) dan ETW (Event Tracing for Windows). Ia bahkan dapat mengganggu kinerja Microsoft Defender, melewati perlindungan SmartScreen, serta menonaktifkan logging PowerShell.

Tidak hanya itu, malware juga menghapus jejak aktivitasnya dengan menghilangkan log, memanipulasi timestamp file, hingga membersihkan riwayat perintah yang dijalankan.

DEEP#DOOR juga memiliki fitur unik berupa “watchdog”, yaitu mekanisme pemantauan internal yang memastikan komponen malware tetap ada di sistem. Jika pengguna atau sistem keamanan mencoba menghapusnya, malware akan secara otomatis membuat ulang komponen tersebut.

Hal ini membuat proses pembersihan menjadi jauh lebih sulit, bahkan bagi tim keamanan sekalipun.

Ancaman Nyata dari Malware Modern

Menurut Securonix, DEEP#DOOR pada dasarnya merupakan Remote Access Trojan (RAT) dengan kemampuan lengkap. Malware ini tidak hanya mampu mencuri data, tetapi juga melakukan pergerakan lateral dalam jaringan, memperluas infeksi, hingga menjalankan operasi lanjutan setelah sistem berhasil dikuasai.

Kemunculan DEEP#DOOR menjadi bukti nyata bahwa tren serangan siber kini semakin mengarah pada teknik fileless malware berbasis skrip. Dengan memanfaatkan bahasa pemrograman seperti Python serta komponen bawaan sistem, pelaku ancaman mampu menghindari banyak metode deteksi tradisional.

Meski saat ini belum terdeteksi sebagai ancaman berskala besar, para ahli mengingatkan bahwa evolusi malware seperti DEEP#DOOR patut diwaspadai. Serangan yang lebih tersembunyi, fleksibel, dan sulit dilacak berpotensi menjadi tantangan besar bagi keamanan digital di masa depan.

Pengguna dan organisasi disarankan untuk meningkatkan kewaspadaan, terutama terhadap email phishing, serta memastikan sistem keamanan selalu diperbarui. Pendekatan keamanan berlapis (layered security) juga menjadi kunci penting untuk menghadapi ancaman yang semakin kompleks ini.