Malware sang pencuri data
July 31, 2022
Serangan masif dilakukan oleh peretas perangkat lunak jahat pencuri informasi (stealer malware) yang menargetkan kredensial ribuan situsweb pemerintah Indonesia.
Informasi temuan awal itu pertama kali diungkap oleh lembaga riset web gelap (darkweb), DarkTracer, yang diunggah di akun Twitter-nya pada Selasa (2 Maret 2022).
DarkTracer beberapa kali mengungkap serangan siber dan kebocoran data yang terjadi di Indonesia. Terakhir, mereka mengungkap bahwa Bank Indonesia menjadi korban serangan ransomware Conti.
“1.753.658 kredensial dari 49.880 situsweb pemerintah telah bocor dari pengguna yang terinfeksi malware pencuri. Pengguna dapat mencakup pengguna pemeritnah atau pengguna publik dari layanan publik pemerintah,” tulis DarkTracer tentang temuannya tersebut.
DarkTracer mengatakan, laporan internal itu didukung oleh modul kumpulan data yang diretas, bersumber dari darkweb dan deepweb.
Serangan ini hampir merata menargetkan pengguna layanan di kementerian atau lembaga pemerintah.
Malware pencuri
DarkTracer tidak menyebutkan jenis malware pencuri apa yang menargetkan pengguna situsweb tersebut.
Bulan lalu, mereka juga mengungkapkan 4.145 pengguna situsweb pemerintah Indonesia terinfeksi malware pencuri dan kredensial login telah bocor di darkweb.
Pada 2020, Badan Siber dan Sandi Negara mengumumkan nama-nama malware pencuri ini. Ada lima malware pencuri yang menyebabkan 79.439 pelanggaran data di Indonesia sepanjang 2020. Kelima malware ini memiliki ciri khas yang sama yaitu mencuri informasi kredensial seperti username, password, email, kartu kredit, dan lain-lain.
Jenis malware tersebut, antara lain Russian password, Vidar stealer, AzorUlt Botne, Smoke Loader, Racoon stealer, dan Predator stealer. Dari kelimanya, jenis Russian password dan Vidar stealer paling banyak memakan korban.
Bahaya yang ditimbulkan
Peneliti keamanan siber Adi Saputra mengatakan serangan malware pencuri adalah murni terjadi pada sisi perangkat pengguna, bukan berada di sisi server situsweb.
Malware yang menginfeksi ini umumnya berupa trojan, berpura-pura sebagai perangkat lunak sah atau resmi.
Menurut Adi, trojan pencuri informasi tersebut biasanya disebarkan melalui email phishing. Aktor ancaman umumnya melampirkan file atau memberikan sebuah tautan untuk diklik pengguna yang ditargetkan.
Ketika pengguna tergiur untuk mengklik atau mengunduh file bahaya itu dan menjalankannya, malware mulai menginfeksi perangkat pengguna. Sesuai dengan perintah dan kontrol operator, malware mulai mengumpulkan data-data yang dicari, seperti kredensial login dan lain-lain.
Pencurian kredensial juga bisa dilakukan oleh peretas melalui tautan phishing atau jebakan. Tautan ini mengarahkan pada login di halaman web yang mirip dengan situsweb yang ditargetkan.
Dalam amatan Adi, jenis-jenis malware pencuri yang beredar di Indonesia, tak jauh berbeda dengan temuan BSSN, antara lain Redline, Formbook, Loki, Raccoon, AVE Maria, Pony, Azorult, dan Predator.
Oleh karenanya, untuk mencegah serangan malware pencuri, ia menyarankan agar pengguna memastikan telah menginstal perangkat lunak antivirus terbaru.
“Pastikan semua antivirus berjalan dengan normal dan di-update,” katanya.
Jika perangkat telah terinfeksi, Adi menuturkan, “Sebenarnya kalau stealer malware, bisa dilacak menggunakan alat endpoint detection dan response (EDR). Jika sudah terinfeksi, lakukan diskoneksi dari network atau internet, lalu lakukan pembersihan komputer secara menyeluruh,” ujarnya.
Selain itu, ia juga meminta pengguna menggunakan perangkat berbeda dengan pemakaian pribadi saat ingin mengakses jaringan kantor. Faktor pandemi Covid-19 yang memaksa orang bekerja secara jarak jauh, “menunjukkan ketidaksiapan pengguna antisipasi serangan yang tidak terdeteksi karena di luar kantor,” ujarnya
Hal lain yang tak kalah penting adalah pengguna jangan mengunduh atau mengklik sembarang file dan pastikan alamat domain yang diakses benar-benar halaman web yang asli. Sumber : cyberthreat.id