Meningkatnya Ancaman Stealer Logs yang Membahayakan Keamanan

0
152

Perlombaan antara pembela dan penyerang siber tentunya ini akan menjadi semakin intens dalam lanskap keamanan siber yang terus berubah. Di luar kekhawatiran konvensional mengenai virus, spyware, dan penipuan phishing, ada ancaman yang lebih berbahaya dan juga canggih: stealer logs. Penjahat dunia maya terus menyempurnakan persenjataan mereka untuk menembus pertahanan pribadi dan perusahaan, dengan stealer logs dan info stealers muncul sebagai senjata garis depan.

Penjelasan Stealer Logs

Infostealers dan stealer logs ini sendiri adalah alat salah satu jenis perangkat lunak berbahaya yang mencuri data sensitif dari komputer yang telah berhasil terinfeksi ini. Kata sandi, nomor kartu kredit, dan informasi sensitif lainnya yang disimpan di perangkat yang terinfeksi adalah target utama info stealers. Mereka dapat mengumpulkan informasi ini dengan berbagai cara, ini termasuk mencatat penekanan tombol, mengambil tangkapan layar, dan mengakses langsung file dan informasi sistem.

Stealer logs, di sisi lainnya, adalah sebuah catatan ekstensif yang telah dihasilkan oleh malware yang mendokumentasikan data yang dicuri ini sebelum diteruskan ke server jarak jauh yang dikendalikan oleh penyerang. Teknologi-teknologi ini menimbulkan ancaman serius terhadap lanskap dunia maya karena ini memungkinkan penjahat dunia maya menggunakan informasi yang diperoleh secara tidak sah untuk melakukan penipuan, pencurian identitas, dan serangan phishing yang telah ditargetkan.

Kemampuan para Infostealer untuk menyamarkan diri mereka adalah hal yang sangatlah berbahaya. Malware tersebut berhasil menghindari deteksi dengan menyamar sebagai PDF biasa, menyematkan dirinya di situs web yang tampak sah, atau bersembunyi di file JPG. Untuk menghindari deteksi oleh sebauh produk antivirus seperti Windows Defender, penjahat di dunia maya biasanya menggunakan crypters untuk perangkat lunak yang mengenkripsi, mengaburkan, dan juga memanipulasi malware.

Infostealer menimbulkan ancaman besar terhadap lanskap dunia maya karena tingkat penipuan dan kompleksitasnya, sehingga memungkinkan penyerang melakukan penipuan pencurian identitas, dan memulai kampanye phishing yang sangat canggih sekali dengan cara menggunakan informasi curian.

Mengapa Stealer logs Penting?  

Informasi yang dimiliki stealer logs dapat memberikan informasi yang juga sangat dibutuhkan oleh penjahat dunia maya untuk kejahatan pencurian identitas, kejahatan keuangan, dan pada beberapa kasus dapat mengakibatkan pengambilalihan total secara online. Stealer logs dapat memperoleh semua yang Anda lakukan di mesin Anda. Berapa banyak aplikasi yang belum keluar? Berapa banyak akun yang dibuka langsung tanpa kredensial? Berapa banyak cookie yang telah Anda terima saat ini?

Apakah Anda belanja online setiap saat? Apakah kartu kredit Anda disimpan ke akun Anda? Penjahat yang menggunakan informasi dari stealer logs bisa mendapatkan akses ke semua ini dan jauh lebih banyak lagi. Tindakan sehari-hari terhadap teknologi yang selama ini kita andalkan dalam kehidupan sehari-hari dapat diakses, dicuri, dan dijual. Data dari stealer logs bisa berguna bagi pelaku kejahatan karena data yang dapat ditargetkan dan dieksfiltrasi, bahkan ini termasuk data browser dan cookie.

Browser menyimpan informasi seperti situs yang dikunjungi, riwayat pencarian, cookie, cache, dan data isi otomatis. Browser adalah aplikasi seperti Chrome, Safari, dan lainnya yang digunakan untuk mengakses internet. Browser menyimpan riwayat browser, yang merupakan catatan situs yang juga pernah dikunjungi pengguna. Browser menyimpan cookie, riwayat pencarian, riwayat unduhan, dan cache. Browser juga akan menyimpan nama pengguna, kata sandi, informasi kartu kredit, alamat, dll.

Informasi yang satu ini juga bisa berasal dari data isi otomatis yang telah disimpan ke browser. Data browser yang telah dieksfiltrasi dalam stealer logs ini sendiri juga dapat memberikan pelaku sebuah  kejahatan berupa PII (SSN, tanggal lahir, alamat, nomor telepon) serta beberapa informasi keuangan (kartu kredit) dan kredensial (nama pengguna dan kata sandi). Selain itu, para pelaku ini juga dapat menggabungkan data ini dan menggunakannya untuk pencurian dan penipuan terhadap korbannya.

Penjahat dapat mengakses akun dengan membuat ulang sesi yang diberi kredensial menggunakan cookie yang diambil dari perangkat korban oleh info stealers. Jika pelaku kejahatan memiliki cookie dari sesi kredensial resmi, mereka dapat membuat ulang akses akun dan masuk ke akun. Meskipun pelaku tidak memiliki nama pengguna dan kata sandi situs, jika mereka memiliki cookie dari browser, mereka ini menggunakan cookie untuk mengambil sesi kredensial guna mengkloning akses ke akun.

Browser ini adalah salah satu hal yang mungkin mengenali sesi cookie yang diberi kredensial sebagai korban yang masuk, bukan pelaku kejahatan. Layanan email dan bank juga tidak boleh menimbulkan tanda bahaya ketika aktor jahat masuk dengan data cookie stealer logs, karena dengan cookie, aktor tersebut mengakses sesi kredensial.  Alasan lainnya mengapa data stealer logs ini adalah yang sangat berharga bagi penjahat dunia maya adalah karena data stealer logs ini cenderung lebih tepat waktu.

Kebocoran dan pelanggaran dapat terjadi bertahun-tahun lamanya setelah pengguna ini pertama kali mendaftar, dan oleh karena itu kredensial (seperti kata sandi) mungkin tidak mutakhir. Namun, data stealer logsakan berisi rincian terbaru korban. Stealer logsmengambil kata sandi dan kredensial terbaru dari mesin korban, bukan dari seorang pihak ketiga tempat akun tersebut telah didaftarkan.

Bahkan jika pengguna mengikuti praktik pembersihan yang sehat dan mengubah kata sandi, stealer logs dapat membuat upaya tersebut diperdebatkan. Selain itu, korban tidak menyadari bahwa info stealers telah menginfeksi perangkatnya meskipun mereka menggunakan perangkat lunak antivirus.

Ketika pengguna mengizinkan tindakan untuk mengunduh malware, perangkat lunak antivirus tidak akan mampu mencegah infeksi. Karena diunduh secara tidak sengaja, dapat melewati antivirus, sulit ditemukan kecuali oleh ahlinya, dan memberikan informasi terkini, mereka berharga bagi penjahat.

Studi Kasus: Sasaran Industri Perhotelan

Temuan

  • Para peneliti menemukan pola pada platform CheckPhish, yang menunjukkan lonjakan situs web phishing untuk beberapa merek perjalanan dan perhotelan yang signifikan.
  • Domain palsu kebanyakan memiliki kata kunci seperti “konfirmasi”, “transaksi”, “tamu”, “verifikasi”, “kueri”, dan “aman”. Kata kuncinya sebagian besar dilampirkan dengan nama merek menggunakan “.” dan “-” untuk mendaftar dan membuat situs web phishing.

Metodologi

Eksekusi Infostealer

  • Penyerang mengeksekusi info stealers di sistem hotel, memperoleh akses untuk berkomunikasi dengan pelanggan sebenarnya. Biasanya, pelanggan diinstruksikan untuk menggunakan sarana komunikasi resmi, namun hal ini tidak ada gunanya karena penyerang mungkin sekarang memiliki akses ke situs resmi.

Akuisisi Korban

  • Dengan akses tepercaya, penyerang mengirimkan pesan profesional dan mendesak kepada korban yang menyerupai kontak hotel asli. Pesan tersebut tampak asli karena dikirim melalui platform pesan situs pemesanan dan menyertakan tautan untuk verifikasi kartu tambahan guna menghindari pembatalan pemesanan.
  • Terkadang, situs web serupa yang terkait dengan merek sah digunakan untuk berbagi komunikasi dengan pelanggan.

Menjebak Korban dan Mendapatkan Data

Korban, berharap untuk mengamankan, membuka tautan tersebut, yang meluncurkan file eksekusi yang dikodekan dalam skrip JavaScript Base64. Beberapa keamanan diterapkan sebagai pendekatan anti-analisis. Validasi yang berhasil akan membawa pengguna ke situs phishing yang juga menyamar sebagai halaman pembayaran, yang meminta informasi bank. Saluran dari dukungan obrolan pintar sering meningkatkan legitimasi penipuan, menipu korban agar mengungkapkan informasi penting.