Cyberthreat.id – Peneliti keamanan siber (cybersecurity) Malwarebytes meyakini salah satu kelompk penjahat siber Magecart yang aktif saat ini, Magecart Group 5, memiliki keterkaitan dengan kelompok Advanced Persistence Threat (APT) Carbanak.

Magecart adalah julukan bagi sekelompok penjahat siber yang mencuri identitas kartu kredit dan kartu debit; biasanya serangan mereka menargetkan toko online, perbankan, dan perhotelan.

Carbanak adalah Trojan backdoor buatan dari kelompok FIN7. Sesuai dengan nama malwarenya, kelompok ini juga dikenal dengan nama Carbanak, Anunak, atau Cobalt Group.

FIN7 adalah salah satu kelompok peretas paling berbahaya di dunia yang dikenal hingga saat ini, bertanggung jawab atas peretasan dan pencurian dari bank dan lembaga keuangan.

Backdoor Carbanak adalah strain malware generasi kedua kelompok ini, yang mereka kembangkan dan gunakan sebagai alat utama mereka untuk membantu intrusi pada jaringan bank.

• 2013–2014: mereka mengembangkan dan menggunakan malware Anunak dan menargetkan terutama lembaga keuangan dan jaringan ATM.
• 2014–2016: mereka mengembangkan dan menggunakan malware Carbanak, versi Anunak yang lebih baru dan lebih canggih.
• 2016–2017: mereka mengembangkan malware kustom menggunakan Cobalt Strike, kerangka pengujian penetrasi yang sah.

FIN7 biasanya dioperasikan dengan menginfeksi karyawan bank dengan malware. Dari situlah, pijakan peretas untuk bisa masuk ke jaringan hingga memperoleh akses ke sistem sensitif yang dapat digunakan untuk mentransfer uang dari rekening bank atau mengatur cashout ATM.

Seperit dilaporkan ZDNet, Selasa (22 Oktober 2019), kala Magecart muncul beberapa tahun lalu, namanya langsung dihubungkan dengan penjahat spesialis kartu skimmer JavaScript.

---

Beria Terkait:

• Melacak Cobalt, Geng Cybercrime Penggarong Triliunan Rupiah

---

Skrip-skrip tersebut secara diam-diam dimuat ke platform dan layanan e-commerce yang diretas. Selanjutnya, skrip-skrip jahat itu memanen rincian kartu pembayaran yang dimasukkan oleh korban ketika melakukan pembelian di situs tersebut.

British Airways, Ticketmaster, Newegg, dan ribuan peritel lain menjadi korban dari taktik ini, biasanya para peretas tersebut berhasil melakukan pencurian melalui kerentanan Sistem Manajemen Konten (CMS) dan layanan cloud yang tidak terenkripsi.

Menurut Malwarebytes, Magecart Group 5 memiliki modus operasi yang sangat berbeda dengan penjahat lain. Mereka cenderung menyasar kelemahan rantai pasokan (supply chain) daripada langsung menyerang target sebenarnya.

Menurut peneliti Jérôme Segura, William Tsing dan Adam Thomas dari Malwarbytes, Magecart Group 5 kemungkinan terkait dengan Dridex—Trojan perbankan yang pertama kali melakukan serangan pada 2014 dan telah secara aktif digunakan dalam pencurian kredensial perbankan online sejak saat itu. Malware ini umumnya menyebar melalui skema phishing yang menggunakan pemberitahuan tagihan faktur palsu.

Sebelumnya, Malwarebytes juga meneliti Magecart Group 5 terkait dengan Cobalt, kelompok peretas berbahaya yang pernah mencuri jutaan dolar dari lembaga keuangan.

Sementara, IBM pernah mengidentifikasi Magecart Group 6 sebagai FIN6, kelompok ancaman yang terkait dengan serangan terhadap sistem point-of-sale (PoS) di seluruh Eropa, serta penyebaran berbagai jenis malware.

Redaktur: Andi Nugroho