Cyberthreat.id – Kelompok penjahat siber dilaporkan telah menyebarkan kampanye malware “Krampus-3PC” yang menyasar para pengguna iPhone, demikian analisis terbaru dari Digital Security Operations (DSO) Media Trust, startup  asal Washington DC, AS yang bergerak di bidang identifikasi malvertising.

Laporan tersebut menyebutkan, aktor kampanye serangan menggunakan lebih dari 100 situs web berbahaya untuk menjebak pengguna iPhone. Bahkan, di antara situs web tersebut menyamar sebagai surat kabar online Inggris dan majalah berita mingguan internasional.

Menurut tim DSO Media Trust, pengguna iPhone yang mengunjungi salah satu situs web berbahaya itu akan dialihkan dalam kampanye malvertising melalui proses multi-tahap.

Selanjutnya, pengguna akan “mendarat” di popup (sembulan) yang menyamar sebagai iklan berhadiah. Dalam aktivitas,  malware "Krampus-3PC" akan memanen informasi cookie dari pengguna, sehingga memungkinkan penyerang menerobos pada akun-akun online pengguna.

"Malware ini dapat mengambil tidak hanya informasi apa pun yang dimasukkan pengguna, tetapi juga nomor telepon mereka yang kemudian dipakai untuk teks phishing dan ID cookie," jelas DSO, dalam sebuah laporan [PDF] yang dikeluarkan Rabu (11 Desember 2019).

“ID cookie memungkinkan Krampus-3PC untuk membajak browser, dan jika pengguna memiliki situs web lain, seperti bank atau peritel online favorit yang terbuka di perangkat, [penyerang bisa] mendapatkan akses ke akun pengguna. Akses ke cookie akan memungkinkan malvertiser untuk masuk sebagai pengguna itu di lain waktu," jelas DSO.

Penjahat siber, menurut DOS, disinyalir pertama kali memasang iklan untuk didistribusikan melalui penyedia adtech Adtechstack. Mereka kemudian menggunakan API platform untuk memasukkan kode jahat.

"Mengingat tingkat kecanggihannya, malware ini kemungkinan dikembangkan oleh kelompok daripada perseorangan," kata DSO kepada Threatpost.

Krampus-3PC sendiri mampu menerobos semua pemblokir malware dan layanan pemindai yang dipasang di situs web berita online dan situs web penyedia iklan online. Namun, DSO belum mengungkapkan nama situs web korban.

Bagaimana Krampus-3PC menyerang iPhone?

Untuk menginfeksi target, pengembang kampanye malware Krampus-3PC memanfaatkan musim belanja, seperti momen-momen Natal atau Tahun Baru, ketika semua orang menanti berbagai penawaran, demikian seperti dikutip dari International Business Times, Kamis (12 Desember).

• Tahap pertama, Krampus-3PC mengirimkan pesan popup palsu di iPhone korban, disamarkan sebagai iklan hadiah atau iklan kartu hadiah dari sebuah toko online palsu.
• Setelah korban mengklik URL tautan hadiah dari halaman toko online palsu tadi, malware membuka halaman phishing dan menanyakan beberapa informasi pribadi kepada korban.
• Ketika korban memasukkan kredensial pribadi mereka, malware memeriksa di perangkat, apakah sudah terinfeksi atau belum.
• Lalu, malware mengirimkan informasi tersebut dengan nomor pribadi korban ke peretas/penyerang. Mereka juga mengumpulkan informasi pengguna dan cookie. Ini yang memungkinkan penyerang bisa masuk (login) ke berbagai media sosial dan akun rekening bank online korban.
• Peretas lalu mendorong iklan melalui penyedia adtech Adtechstack, dan kemudian mereka menyuntikkan kode berbahaya ke API mereka.
• Iklan tersebut mengklaim berasal dari perusahaan teknologi global dan untuk memikat para korban, dengan menampilkan merek terkenal.
• Malware memeriksa apakah perangkat itu adalah iPhone dengan mencari tahu apakah vendor pembaca grafis adalah "Apple" dan gaya font dalam browser "topi kecil gaya berat" (style weight small caps). Jika hasilnya positif, Krampus-3PC membuat dan mengeksekusi URL payload.
• URL payload ini kemudian membajak browser dengan mengganti URL halaman untuk mengarahkan pengguna ke popup berhadiah. Jika pengalihan gagal, itu memuat URL berbahaya ke tab lain. URL akan terus membuka dan memuat ke tab baru sampai pengalihan berhasil.

Apa itu Krampus?

Krampus, seorang tokoh antropomorfik bertanduk yang digambarkan "setengah kambing, setengah setan" dari cerita rakyat Eropa Tengah.

Dia terkenal karena menghukum anak-anak yang nakal selama musim Natal. Dia berbeda dengan Santo Nikolas, yang memberi hadiah kepada yang berperilaku baik dengan hadiah. Di Eropa, Krampus sering digambarkan sebagai salah satu sahabat Santo Nikolas selama musim Natal.

Nama Krampus berasal dari kata Jerman krampen, yang berarti cakar, dan dikatakan sebagai putra Hel dalam mitologi Nordik (Eropa Utara). Binatang yang legendaris itu juga memiliki karakteristik yang sama dengan makhluk-makhluk iblis menyeramkan lainnya dalam mitologi Yunani, termasuk satyr (satir) dan fauna.