20 Oktober 2021 | Ashley Shen | Threat Analysis Group
Threat Analysis Group dari Google melacak pihak tidak bertanggung jawab yang terlibat dalam kampanye disinformasi, peretasan yang didukung pemerintah, dan praktik penyalahgunaan dengan motif finansial. Sejak akhir tahun 2019, tim kami telah menghentikan kampanye phishing dengan motif finansial yang menarget YouTuber dengan malware Cookie Theft.
Pihak tidak bertanggung jawab di balik kampanye ini, yang menurut kami terkait dengan sekelompok peretas yang direkrut di forum berbahasa Rusia, memancing targetnya dengan iming-iming peluang kolaborasi palsu (biasanya berupa demo software antivirus, VPN, pemutar musik, pengeditan foto, atau game online), lalu membajak channel mereka, kemudian menjualnya ke penawar tertinggi, atau menggunakannya untuk menyebarluaskan scam mata uang kripto.
Bekerja sama dengan tim YouTube, Gmail, Trust & Safety, CyberCrime Investigation Group, dan Safe Browsing, langkah perlindungan yang kami lakukan berhasil menurunkan volume email phising terkait di Gmail sebesar 99,6% sejak Mei 2021. Kami telah memblokir 1,6 juta pesan yang ditargetkan kepada pengguna, menampilkan sekitar 62 ribu halaman peringatan phishing Safe Browsing, memblokir 2,4 ribu file, dan berhasil memulihkan kurang lebih 4 ribu akun. Berkat peningkatan upaya deteksi ini, kami mengamati bahwa penyerang kini mulai beralih dari Gmail ke penyedia email lainnya (sebagian besar email.cz, seznam.cz, post.cz, dan aol.com). Selain itu, untuk melindungi pengguna kami, kami telah melaporkan aktivitas di bawah ini ke FBI untuk dilakukan investigasi lebih lanjut.
Dalam postingan blog ini, kami akan memberikan beberapa contoh taktik, teknik, dan prosedur khusus yang digunakan untuk memancing para korban, serta sejumlah panduan agar pengguna dapat melindungi dirinya sendiri.
Taktik, teknik, dan prosedur
Cookie Theft, yang juga dikenal sebagai serangan “pass-the-cookie”, adalah teknik pembajakan sesi yang memungkinkan akses ke akun pengguna yang menyimpan cookie sesi di browser. Meskipun telah ada selama beberapa dekade, teknik ini kembali muncul menjadi masalah keamanan utama akibat semakin meluasnya penggunaan autentikasi multi-faktor yang semakin menyulitkan tindak penyalahgunaan, sehingga para penyerang kini beralih menggunakan taktik manipulasi psikologis.
Memanipulasi YouTuber dengan penawaran iklan
Ada banyak kreator YouTube yang mencantumkan alamat email di channelnya untuk keperluan bisnis. Dalam kasus ini, para penyerang biasanya berpura-pura menjadi perusahaan resmi dan mengirim email bisnis yang menawarkan peluang kolaborasi membuat video iklan.
Contoh pesan email phishing
Phishing biasanya dimulai dengan email khusus yang memperkenalkan perusahaan dan produknya. Setelah target menyetujui kesepakatan, halaman arahan malware yang disamarkan sebagai URL untuk mendownload software akan dikirim melalui email atau PDF di Google Drive, dan dalam beberapa kasus, melalui Google Dokumen yang berisi link phishing. Kami telah mengidentifikasi sekitar 15.000 akun pelaku kejahatan, dan sebagian besarnya memang khusus dibuat untuk kampanye ini.
Halaman arahan dan akun media sosial untuk software palsu
Penyerang mendaftarkan beragam domain yang terkait dengan perusahaan palsu dan membuat banyak situs untuk mengirim malware. Hingga saat ini, kami telah mengidentifikasi setidaknya 1.011 domain yang dibuat hanya untuk tujuan ini. Sejumlah situs meniru situs software yang sah seperti Luminar, Cisco VPN, game di Steam, dan sejumlah situs lainnya dibuat menggunakan template online. Selama pandemi, kami juga menemukan penyerang yang menyamar sebagai penyedia berita yang menawarkan “software berita Covid 19.”
Pesan iming-iming dan halaman arahan untuk software berita palsu Covid 19
Dalam satu kasus, kami juga mengamati halaman media sosial palsu yang menyalin konten dari suatu perusahaan software sungguhan. Screenshot berikut adalah contoh halaman palsu yang URL aslinya diganti dengan URL untuk mendownload malware Cookie Theft.
Akun Instagram asli (kiri) dan palsu (kanan)
Karena Google aktif mendeteksi dan mencegah link phishing yang dikirim melalui Gmail, kami mengamati bahwa pelaku kejahatan mengarahkan targetnya ke aplikasi perpesanan seperti WhatsApp, Telegram, atau Discord.
Mengirimkan malware Cookie Theft
Setelah target menjalankan software palsu, malware cookie theft akan dijalankan, mengambil cookie browser dari mesin perangkat korban dan menguploadnya ke server “command and control” milik pelaku. Meskipun jenis malware ini dapat dikonfigurasi untuk menggunakan mode persisten (agar malware tetap ada di perangkat korban), pelaku kejahatan biasanya menjalankan semua malware dalam mode non-persisten dengan teknik “smash-and-grab” (yakni menyerang mesin pengguna, mengambil data-datanya, lalu menghilangkan jejak dari perangkat). Teknik ini dipilih karena jika file berbahaya tidak terdeteksi saat dijalankan, hanya akan sedikit menyisakan artefak malware di host yang terinfeksi. Itulah sebabnya produk keamanan gagal memberi tahu pengguna jika telah terjadi serangan.
Kami mengamati bahwa pelaku kejahatan menggunakan berbagai jenis malware berdasarkan preferensi pribadinya, yang sebagian besar dapat diakses dengan mudah di GitHub. Beberapa malware komoditas yang digunakan antara lain RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad (diberi nama oleh Google), dan Kantal (diberi nama oleh Google) yang kodenya mirip dengan Vidar. Kami juga mengamati malware open source seperti Sorano dan AdamantiumThief. Hash terkait kami cantumkan di bagian Detail Teknis, di akhir laporan ini.
Sebagian besar malware yang diamati mampu mencuri sandi dan cookie pengguna. Beberapa sampel menerapkan sejumlah teknik anti-sandboxing termasuk pembesaran ukuran file, arsip terenkripsi, dan penyamaran IP download. Sejumlah malware yang kami amati juga dapat menampilkan pesan error palsu yang mengharuskan pengguna mengklik tombol untuk melanjutkan eksekusi program.
Pesan error palsu yang meminta pengguna mengklik tombol untuk mengeksekusi program
Scam mata uang kripto dan penjualan channel
Sejumlah besar channel yang dibajak diganti namanya untuk melakukan live streaming mata uang kripto. Nama channel, foto profil, dan semua kontennya diganti dengan merek mata uang kripto tertentu untuk meniru perusahaan teknologi atau perusahaan bursa kripto ternama. Dalam live streamingnya, pelaku kejahatan menayangkan video yang menjanjikan hadiah berupa mata uang kripto jika calon korban mau ikut dan mentransfer sejumlah uang sebagai transaksi awal.
Di marketplace yang khusus menjual akun, channel hasil pembajakan dihargai mulai US$3 sampai US$4.000 tergantung jumlah subscribernya.
Peretas dan penyerang bayaran
Kampanye ini dilakukan oleh sejumlah penyerang dan peretas bayaran yang direkrut di forum berbahasa Rusia, seperti ditampilkan dalam deskripsi berikut yang menampilkan dua jenis pekerjaan:
Dari model perekrutan tersebut kita bisa melihat teknik manipulasi psikologis yang sangat disesuaikan dengan calon korbannya, serta berbagai jenis malware yang suka digunakan oleh pelaku kejahatan.
Melindungi pengguna kami dari serangan
Kami terus meningkatkan metode pendeteksian serta berinvestasi pada alat dan fitur baru yang otomatis mengenali dan menghentikan ancaman seperti ini. Beberapa peningkatan tersebut antara lain:
Safe Browsing yang lebih jauh mendeteksi dan memblokir halaman arahan atau download berisi malware.
YouTube juga telah memperkuat alur transfer channel, yang mendeteksi dan otomatis memulihkan 99% channel yang dibajak.
Tindakan sensitif diblokir di sebuah akun
Pengguna juga tetap harus waspada dengan jenis ancaman ini dan mengambil tindakan yang tepat untuk lebih melindungi diri sendiri. Berikut rekomendasi kami:
Perhatikan peringatan Safe Browsing dengan serius. Para pelaku kejahatan biasanya akan memanipulasi psikologis pengguna agar mematikan atau mengabaikan peringatan agar program antivirus gagal mendeteksi malware.
Sebelum menjalankan software, lakukan pemindaian virus menggunakan antivirus atau alat pemindaian virus online seperti VirusTotal untuk memastikan keaslian dan keamanan file tersebut.
Aktifkan mode “Perlindungan Safe Browsing yang Ditingkatkan” di browser Chrome, sebuah fitur yang meningkatkan peringatan untuk halaman web dan file yang berpotensi mencurigakan.
Waspadai arsip terenkripsi yang seringkali mengakali pemindaian deteksi antivirus dan meningkatkan risiko Anda menjalankan file berbahaya.
Lindungi akun Anda dengan Verifikasi 2 Langkah (autentikasi multi-faktor) yang memberikan lapisan keamanan ekstra ke akun Anda jika sandi Anda dicuri. Mulai 1 November, kreator YouTube yang melakukan monetisasi wajib mengaktifkan Verifikasi 2 Langkah di Akun Google yang dipakai channel YouTube-nya untuk mengakses YouTube Studio atau Pengelola Konten YouTube Studio.
Referensi tambahan: Menghindari dan Melaporkan Email Phishing.
Detail teknis
Hash terkait malware:
RedLine (komoditas)
Vidar (komoditas)
Kantal (kode yang hampir mirip dengan Vidar)
Predator The Thief (komoditas)
Sorano (open source)
Nexus stealer (komoditas)
Azorult (komoditas)
Raccoon (komoditas)
Grand Stealer (komoditas)
Vikro Stealer (komoditas)
Masad (komoditas)
AdamantiumThief (open source)
Domain Phishing Teratas:
