Cyberthreat.id – Peneliti dari Bleeping Computer menemukan bahwa para penjual online menjadi sasaran dalam kampanye malware pencuri informasi Vidar, yang memungkinkan pelaku ancaman mencuri kredensial untuk serangan siber yang lebih masif.

Dikutip dari Bleeping Computer, peneliti menemukan bahwa kampanye ini baru diluncurkan minggu ini, dengan pelaku ancaman mengirimkan keluhan ke admin toko online melalui email dan formulir kontak situs web. Email-email ini berpura-pura berasal dari pelanggan toko online yang telah dipotong $550 dari rekening bank mereka setelah dugaan pesanan tidak dilakukan dengan benar.

“Kami menerima salah satu email ini minggu ini dan, setelah meneliti serangan tersebut, telah menemukannya tersebar luas dengan banyak pengiriman ke VirusTotal selama seminggu terakhir,” kata Bleeping Computer.

Penjual online adalah target menarik bagi pelaku ancaman karena mendapatkan kredensial ke backend situs eCommerce memungkinkan berbagai jenis serangan. Misalnya, setelah aktor ancaman mendapatkan akses ke backend admin toko online, mereka dapat menyuntikkan skrip JavaScript berbahaya untuk melakukan serangan MageCart, yaitu saat kode tersebut mencuri kartu kredit pelanggan dan informasi pribadi pelanggan selama checkout.

Akses backend juga dapat digunakan untuk mencuri informasi pelanggan situs dengan membuat cadangan untuk database toko, yang dapat digunakan untuk memeras korban, mengancam mereka harus membayar uang tebusan atau data akan dibocorkan ke publik atau dijual ke pelaku ancaman lainnya.

Awal minggu ini, BleepingComputer menerima email yang berpura-pura berasal dari pelanggan yang ditagih $550, meskipun pesanan tidak berjalan dengan benar. Dalam email tersebut, para penjahat siber juga menyertakan link berbahaya yang disamarkan sebagai link surat pernyataan pembeli.

“Saya menulis untuk menyampaikan keprihatinan dan kekecewaan saya yang mendalam terkait transaksi baru-baru ini yang saya lakukan di situs web Anda, pada 14 Mei 2023, saya melakukan pembelian barang-barang senilai lebih dari $550 dari toko Anda. Namun, masalah substansial telah muncul yang membutuhkan perhatian segera Anda,” tulis email itu.

Email tersebut ditulis untuk menyampaikan rasa urgensi, menuntut pengecer mengeluarkan pengembalian uang dan menyelidiki akar penyebab masalahnya. Saat mengklik URL, target akan diperlihatkan situs web yang berpura-pura menjadi Google Drive. Dalam pengujian BleepingComputer, Google Drive palsu ini akan menampilkan laporan bank atau meminta pengguna untuk mengunduh laporan bank.

Jika situs tersebut menampilkan laporan bank, itu menunjukkan contoh laporan bank dari Commerce Bank yang menggunakan data contoh, seperti nama pelanggan "Jane Customer" di "Anywhere Dr."

Sebagai informasi, Vidar adalah trojan pencuri informasi yang dapat mencuri cookie browser, riwayat browser, kata sandi yang disimpan, dompet cryptocurrency, file teks, database Authy 2FA, dan tangkapan layar layar Windows yang aktif.

Informasi ini kemudian akan diunggah ke server jarak jauh sehingga penyerang dapat mengumpulkannya. Setelah mengirim data, kumpulan file akan dihapus dari mesin yang terinfeksi, meninggalkan direktori yang penuh dengan folder kosong. Setelah pelaku ancaman menerima informasi yang dicuri, mereka akan menjual kredensial kepada pelaku ancaman lain atau menggunakannya untuk membobol akun yang digunakan oleh korban.

“Jika Anda menerima email serupa dan yakin bahwa Anda terpengaruh oleh kampanye distribusi malware ini, penting bagi Anda untuk segera memindai komputer dari malware dan menghapus apa pun yang ditemukan,” kata Bleeping Computer.