idNSA.id - Malware Pencuri Cookie digunakan dalam serangan phishing terhadap pembuat YouTube, Threat Analysis Group (TAG) Google memperingatkan.
Pelaku ancaman yang bermotivasi finansial menggunakan malware Pencurian Cookie dalam serangan phishing terhadap pembuat YouTube sejak akhir 2019. Menurut peneliti Threat Analysis Group (TAG) Google, yang melihat kampanye tersebut, serangan itu diluncurkan oleh beberapa aktor peretasan yang direkrut di Rusia -forum berbicara. Di bawah ini adalah deskripsi pekerjaan yang digunakan untuk merekrut para peretas.
Para peretas menggunakan peluang kolaborasi palsu (yaitu demo untuk perangkat lunak anti-virus, VPN, pemutar musik, pengeditan foto, atau game online) untuk membajak saluran pembuat konten YouTube. Setelah membajak saluran, penyerang menjualnya ke penawar tertinggi atau menggunakannya dalam skema penipuan cryptocurrency.
Saluran yang dibajak berkisar dari $3 USD hingga $4,000 USD tergantung pada jumlah pelanggan.
Landing page perangkat lunak perusak disamarkan sebagai URL unduhan perangkat lunak yang dikirim melalui email atau PDF di Google Drive, atau melalui dokumen Google yang berisi tautan phishing. Para peneliti mengidentifikasi sekitar 15.000 akun aktor, yang sebagian besar dibuat untuk kampanye ini.
Para ahli juga mengamati penyerang mengarahkan target ke aplikasi perpesanan seperti WhatsApp, Telegram atau Discord karena Google mampu menetralisir upaya phishing melalui Gmail.
Setelah menjalankan perangkat lunak palsu, malware pencuri cookie akan dieksekusi. Malware mencuri cookie browser dari mesin yang terinfeksi dan mengirimkannya ke server C2. Para ahli memperhatikan bahwa semua malware yang terlibat dalam kampanye ini berjalan dalam mode non-persisten.
Beberapa kode berbahaya yang digunakan dalam kampanye ini adalah RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult , Raccoon , Grand Stealer, Vikro Stealer, Masad, dan Kantal, bersama dengan malware open-source seperti Sorano dan AdamantiumThief.
Setelah dikirimkan pada sistem target, malware digunakan untuk mencuri kredensial dan cookie browser mereka yang memungkinkan penyerang untuk membajak akun korban dalam serangan pass-the-cookie.
“Meskipun teknik ini telah ada selama beberapa dekade, kebangkitannya sebagai risiko keamanan teratas dapat disebabkan oleh adopsi otentikasi multi-faktor (MFA) yang lebih luas sehingga sulit untuk melakukan penyalahgunaan, dan mengalihkan fokus penyerang ke taktik rekayasa sosial,” kata Ashley Shen, seorang Insinyur Keamanan TAG.
“Sebagian besar malware yang diamati mampu mencuri kata sandi dan cookie pengguna. Beberapa sampel menggunakan beberapa teknik anti-sandboxing termasuk file yang diperbesar, arsip terenkripsi, dan penyelubungan IP unduhan. Beberapa diamati menampilkan pesan kesalahan palsu yang mengharuskan pengguna mengklik untuk melanjutkan eksekusi. membaca analisis yang diterbitkan oleh Google TAG.
Google membagikan temuannya dengan FBI dan membagikan Indikator Kompromi untuk kampanye ini.
