Malware Blackmoon Menyebar Lewat Email Pajak Palsu di India

Ancaman kejahatan siber kembali menunjukkan eskalasi yang mengkhawatirkan. Kali ini, para peneliti keamanan siber mengungkap adanya kampanye phishing canggih yang secara khusus menargetkan pengguna di India dengan kedok pemberitahuan pajak. Serangan ini tidak sekadar penipuan biasa, melainkan bagian dari dugaan operasi spionase siber yang memanfaatkan malware berbahaya bernama Blackmoon.

Temuan tersebut diungkap oleh tim eSentire Threat Response Unit (TRU), yang mencatat bahwa pelaku kejahatan siber menyebarkan email phishing yang menyamar sebagai pesan resmi dari Direktorat Jenderal Pajak India. Email tersebut berisi ancaman denda pajak atau pemeriksaan dokumen, yang mendorong korban untuk mengunduh sebuah file arsip berformat ZIP. Tanpa disadari, tindakan ini justru membuka jalan bagi penyerang untuk masuk dan menguasai sistem korban.

Serangan ini dirancang secara bertahap dan sangat terstruktur. File ZIP yang dikirimkan berisi lima file tersembunyi, dengan satu file eksekusi bernama “Inspection Document Review.exe” yang terlihat seolah sah. File inilah yang menjadi pintu masuk utama malware. Ketika dijalankan, file tersebut memuat sebuah DLL berbahaya yang mampu menghindari proses analisis keamanan serta berkomunikasi dengan server eksternal untuk mengunduh muatan lanjutan.

Pada tahap berikutnya, malware menggunakan teknik berbasis Component Object Model (COM) untuk melewati sistem keamanan User Account Control (UAC) di Windows. Dengan cara ini, malware dapat memperoleh hak akses administrator tanpa sepengetahuan pengguna. Tak hanya itu, malware juga memodifikasi Process Environment Block (PEB) agar menyamar sebagai proses Windows yang sah, yakni “explorer.exe”, sehingga keberadaannya sulit terdeteksi oleh sistem keamanan.

Muatan lanjutan kemudian diunduh dari domain mencurigakan eaxwwyr[.]cn dalam bentuk file bernama “180.exe”. File ini merupakan installer Inno Setup 32-bit yang dirancang untuk menyesuaikan perilakunya berdasarkan kondisi sistem korban. Jika antivirus Avast Free Antivirus terdeteksi aktif, malware tidak serta-merta menonaktifkannya. Sebaliknya, malware menggunakan simulasi pergerakan mouse otomatis untuk masuk ke antarmuka Avast dan menambahkan file berbahaya ke dalam daftar pengecualian, sehingga lolos dari pemindaian tanpa memicu kecurigaan.

Teknik ini dijalankan menggunakan DLL yang diidentifikasi sebagai varian malware Blackmoon, atau dikenal juga dengan nama KRBanker. Malware ini bukan pemain baru di dunia kejahatan siber. Blackmoon pertama kali terdeteksi pada 2015 dan dikenal menargetkan sektor bisnis di sejumlah negara seperti Korea Selatan, Amerika Serikat, dan Kanada.

Yang membuat kampanye ini semakin berbahaya adalah penyalahgunaan perangkat lunak legal. File yang dikecualikan dari pemindaian antivirus adalah “Setup.exe”, sebuah utilitas milik SyncFutureTec Company Limited. File ini kemudian menurunkan “mysetup.exe”, yang diidentifikasi sebagai SyncFuture TSM (Terminal Security Management), sebuah alat komersial dengan kemampuan pemantauan dan pengelolaan jarak jauh.

Dengan memanfaatkan software yang sah, pelaku ancaman memperoleh kemampuan luas untuk mengendalikan komputer korban dari jarak jauh, merekam aktivitas pengguna, hingga mencuri data sensitif. Selain itu, sejumlah komponen tambahan juga dijalankan, termasuk skrip batch untuk memodifikasi izin akses sistem, memanipulasi folder Desktop, membersihkan jejak serangan, serta sebuah file eksekusi bernama “MANC.exe” yang mengatur layanan internal dan pencatatan aktivitas secara detail.

“Serangan ini memberi pelaku kemampuan tidak hanya untuk mencuri data, tetapi juga mempertahankan kendali penuh atas sistem yang terinfeksi dan memantau aktivitas korban secara real-time,” ujar eSentire.

Menurut mereka, kombinasi teknik anti-analisis, eskalasi hak akses, DLL sideloading, penyalahgunaan software komersial, serta penghindaran sistem keamanan menunjukkan tingkat kecanggihan dan niat serius dari para pelaku.

Kasus ini menjadi pengingat penting bagi pengguna dan organisasi untuk selalu waspada terhadap email mencurigakan, terutama yang mengatasnamakan institusi resmi. Edukasi keamanan siber, pembaruan sistem secara rutin, serta kehati-hatian dalam membuka lampiran email menjadi kunci utama untuk menghindari ancaman serupa di masa depan.