Cyberthreat.id – Cybereason, perusahaan keamanan siber asal Boston, AS, baru-baru ini menerbitkan laporan terkait dengan kampanye aktif peretas (hacker) di dunia mata uang kripto (cryptocurrency).

Dalam laporan yang ditulis oleh peneliti Assaf Dahan dan Lior Rochberger itu disebutkan, kampanye serangan siber tersebut menggunakan malware yang dapat mencuri data, menambang mata uang kripto jenis Monero, dan mengirimkan ransomware kepada korban di seluruh dunia.

“Penelitian mereka menyoroti tren yang sedang berlangsung di kalangan penjahat siber, di mana mereka diduga menyalahgunakan platform penyimpanan online, seperti Github, Dropbox, Google Drive, dan Bitbucket untuk menyebarkan malware,” tulis Coingeek yang diakses Senin (10 Februari 2020).

Menurut peneliti, menyimpan muatan berbahaya pada platform tepercaya memungkinkan penyerang menghindari produk keamanan antivirus. Selain itu, trik tersebut juga mengurangi risiko pengaruh ke server penjahat dengan memisahkan infrastruktur pengiriman (platform penyimpanan online) dari server.

Tim keamanan Cybereason menemukan tujuh repositori (penyimpanan) Bitbucket berbeda yang digunakan untuk mendistribusikan malware berikut:

• Predator. Pencuri informasi kredensial dari browser, menggunakan kamera untuk mengambil gambar, mengambil screenshot, dan mencuri dompet cryptocurrency.
• Azorult. Pencuri informasi dengan kemampuan backdoor yang secara ilegal mengambil kata sandi, kredensial email, cookies, riwayat browser, identitas diri, dan cryptocurrency.
• Evasive Monero Miner. Dropper untuk XMRig Miner multitahap yang menggunakan teknik penghindaran canggih untuk menambang Monero sambil tetap di bawah radar antimalware.
• STOP Ransomware. Digunakan untuk menembus sistem file dan didasarkan pada platform ransomware open-source. Juga, memiliki kemampuan pengunduh yang digunakan untuk menginfeksi sistem dengan malware tambahan.
• Vidar. Pencuri informasi yang tidak hanya mengambil tangkapan layar tetapi juga mencuri cookies dan riwayat peramban web, dompet digital, dan data otentikasi dua faktor (2FA).
• Amadey bot. Bot Trojan sederhana yang terutama digunakan untuk mengumpulkan informasi pengintaian pada mesin target.
• IntelRapid. Pencuri cryptocurrency yang mencuri berbagai jenis dompet mata uang kripto.

“Serangan ini dimulai ketika pengguna yang tidak menaruh curiga saat mengunduh crack peranti lunak komersial gratis, seperti Adobe Photoshop, Microsoft Office, dan lainnya,” menurut peneliti.

Peretas sering menargetkan pengguna yang mencari produk komersial "gratis" dengan menggabungkan perangkat lunak yang sah dengan berbagai jenis malware.

Ketika pengguna menginstal "perangkat lunak komersial gratis," pengguna akan juga mengunduh Azorult dan Predator ke mesin yang rentan. Setelah diaktifkan, malware mulai berkomunikasi dengan sistem perintah dan kontrol yang berada di platform terpisah.

Kini repositori berbahaya di Bitbucket telah ditutup setelah peneliti memberitahu hal tersebut. Sulit untuk menilai berapa banyak repositori perangkat lunak lain dapat dikompromikan dengan cara yang sama, kata peneliti.

Menurut laporan tersebut, kampanye aktif ini telah menginfeksi lebih dari 500.000 mesin secara global hingga saat ini, dengan ratusan perangkat lebih terpengaruh setiap jam. Serangan itu merupakan pengingat bahwa orang-orang harus tetap sangat curiga terhadap tawaran perangkat lunak gratis.[]