Cyberthreat.id – Vidar stealer ialah salah satu malware pencuri informasi yang beroperasi di Indonesia. Badan Siber dan Sandi Negara menyatakan, sepanjang tahun lalu malware ini menjadi pemicu insiden siber 13.280 kebocoran data. (Baca: 5 Malware Pencuri yang Memicu Insiden Data Breach pada 2020)

Nama “vidar” diambil dari mitologi Norse—kepercayaan dari Eropa Utara—yang memiliki arti “dewa” dan “putra odin” (pemimpin para dewa).

Namun, arti nama tersebut tak berkorelasi dengan sepak terjangnya di dunia serangan siber. Vidar stealer justru salah satu jenis trojan dari varian “Arkei Infostealer” yang pertama kali diteliti pada Desember 2018.

Perusahaan keamanan siber AS, Malwarebytes, mengatakan, Vidar stealer ditulis dalam bahasa pemrograman C++ dan memiliki fitur-fitur seperti malware pencuri informasi umumnya.

Informasi yang dicuri seperti cookies, riwayat peramban (bahkan dari peramban Tor), dompet elektronik, data perangkat lunak 2FA, teks pesan, tangkapa nlayar, dan lain-lain. Data-data yang berhasil dicuri, lalu dikirim ke server operator malware.

Vidar stealer juga digunakan peretas untuk menyebarkan varian malware lain, seperti spyware, ransomware, adware, dan malicious toolbars. Dengan kata lain, operator Vidar bisa mengeksploitasi sistem keamanan yang rentan dengan serangan dua arah.

Praktik tersebut pernah ditemukan, seperti dikutip dari Internet Security, awalnyaVidar stealer bertindak sebagai malware pencuri data melalui senjata Fallout kit, lalu menyebarkan varian ransomware “GandCrab”. Ketika terinfeksi Grandcab, operator malware mengenkripsi data pengguna dan meninggalkan catatan tebusan bagi korban.

Karena itulah, Vidar stealer dianggap sebagai salah satu ancaman berbahaya yang paling merusak dan tersebar luas dalam jaringan sistem.

Meski di kalangan industri keamanan siber, trojan tersebut diteliti sejak 2018, justru Vidar stealer pertama kali menjadi berita utama pada Januari 2019 dalam sebuah operasi malvertising (iklan berbahaya) dan membawa muatan ransomware “GandCrab”.

Bagaimana Vidar stealer menyusup komputer korban?

Vektor infeksi awal trojan ini melalui iklan berbahaya. Peretas memancing calon korban untuk mengklik URL atau iklan pop-up yang mengarahkan mereka ke situs web jahat.

Malvertising biasanya muncul di situs torrent dan streaming video daring. Iklan jahat inilah yang membawa calon korban ke alat eksploitasi Fallout, terutama menargetkan peramban Internet Explorer dan Flash Player yang rentan.

Begitu trojan masuk mesin komputer korban, mulailah mereka mencuri berbagai data dan mengirimkannya ke server komunikasi (CnC)peretas dengan kondisi di-ZIP sebelum dikirim.

Setelah tahap itu, trojan barulah mendistribusikan “GandCrab”. Intinya, mencuri data sebelum mengenkripsi. Ini bedanya dengan ransomware lain yang juga mencuri dan mengenkripsi data bersamaan, GandCrab justru menggunakan infrastruktur Vidar untuk mengenkripsi data—berbagi peran masing-masing.

BSSN mengatakan selain cara eksploitasi melalui iklan, Vidar juga mengirimkan email spam yang berisi file Vidar Stealer.

Jika pengguna membuka file yang dikirim melalui email itu dan kemudian menutup filenya, komputer atau sistem korban akan terinfeksi. Dan, secara otomatis mengunduh dan mengeksekusi file Poserto.exe, yang kemudian mengunduh pustaka dari dynamic link-library (DLL) — jenis file yang berisi instruksi yang dapat dipanggil oleh program lain untuk melakukan hal-hal tertentu— yang ditujukan untuk mencuri data yang kemudian dikirim ke server komunikasi Vidar.

Salah satu bentuk dokumen file yang membawa Vidar ialah dokumen Microsoft Word. Setelah diunduh dan kemudian dibuka, dokumen Microsoft Word berbahaya itu meminta mengaktifkan makro. Sekadar diketahui, makro ini mengotomatisasi tugas yang sering digunakan untuk menghemat waktu penekanan tombol dan tindakan mouse.

Namun, beberapa makro bisa menimbulkan potensi risiko keamanan. Orang dengan niat jahat bisa menyisipkan makro perusak dalam file yang bisa menyebarkan virus pada komputer atau ke dalam jaringan organisasi.

Untuk itu, menonaktifkan makro ini memungkinkan semua makro yang tidak dipercaya akan memunculkan notifikasi atau pemberitahuan peringatan keamanan yang berujung pada permintaan “Aktifkan Konten” atau “Aktifkan Pengeditan”.

Artinya, dengan menonaktifkan makro pengguna dapat lebih terhindar dari makro jahat. Microsoft pun merekomendasikan pengguna untuk tidak mengaktifkan semua makro, karena bisa saja dijalankan oleh kode berbahaya.

Didistribusikan oleh beberapa kelompok ancaman

Malwarebytes mengatakan Vidar tidak hanya dioperasikan oleh orang yang sama atau kelompok yang sama. Pasalnya, trojan tersebut juga ditawarkan di forum peretasan.

Dari temuan Malwarebytes, Vidar dijual dengan harga US$700 pada saat dianalisis tahun 2019. Namun, ada juga yang menjual mulai dari US$250, tulis Fumik0_, peneliti yang fokus pada Vidar stealer.

Pembeli pun tak bertransaksi di forum itu, tetapi akan diarahkan ke portal toko server buatan mereka sendiri. Karena itu, tidak ada manajemen di pihak mereka dan domain yang mengarah ke server mereka atau portal tokonya diubah setiap empat hari.

Target Vidar stealer

Salah satu target trojan ini ialah kode 2FA. Peneliti Fumik0_ mengatakan bahwa Vidar mengejar perangkat lunak 2FA bernama Authy.

Untuk target peramban, Vidar ini mencuri data dari peramban khusus, seperti Tor dan peramban umum lain, seperti Google Chrome, Internet Explorer, Mozilla Firefox, Microsoft Edge, Opera, dan lain lain.

Tak hanya itu, Vidar stealer juga mengincar pengguna Telegram, aplikasi Bat!, Pidgin, dan Thunderbird.

Dompet elektronik terkait mata uang kripto, seperti Bitcoin, Ethereum, AnoncoiN, BBQCoin, dan lain-lain tak luput dari target operator Vidar stealer.

Pada Januari 2019, operator Vidar stealer pernah membuat situs web palsu terkait perdagangan mata uang kripto. Mereka meniru platform perdagangan CryptoHopper untuk mengelabui korban. Banyak pengunjung CryptoHopper tertipu dengan situs web tersebut.

Sebelumnya, operator Vidar stealer juga berpura-pura menawarkan jaringan virtual pribadi (VPN) bernama "Inter VPN". Dari sinilah, mereka menyebarkan trojan tersebut.

Tak hanya itu, peretas di balik situs web VPN palsu itu juga mendistribusikan “CryptBot”, sama-sama mencuri kredensial peramban web, tulis BleepingComputer.

Untuk menghindari infeksi trojan Vidar stealer, BSSN menyarankan selalu memperbarui sistem operasi dan perangkat lunak atau aplikasi lainnya.

Selain itu, karena menyebar melalui iklan, pastikan menggunakan aplikasi pemblokir iklan. Dengan memblokir iklan, pengguna dapat menghindari tautan otomatis ke situs web pihak ketiga yang berbahaya.[]

Redaktur: Andi Nugroho