Peretas malware StealC memaksa pengguna Chrome untuk mengungkapkan kata sandi Google
Pembaruan, 17 September 2024: Berita ini, yang awalnya diterbitkan pada 15 September, kini memuat detail tentang lebih banyak lagi ancaman pencurian kredensial yang menargetkan pengguna peramban web.
Penelitian yang baru-baru ini diterbitkan telah mengungkap bagaimana pelaku kejahatan siber menggunakan teknik baru yang licik untuk memaksa pengguna peramban Chrome mengungkapkan kata sandi akun Google mereka hanya karena frustrasi. Kampanye pencurian kredensial, yang menggunakan malware bernama StealC, mengunci peramban pengguna dalam mode kios sambil memblokir tombol F11 dan ESC untuk mencegah mereka keluar dari mode layar penuh ini. Satu-satunya hal yang ditampilkan di layar peramban saat dalam mode kios yang mengganggu dan tampaknya tidak dapat dihindari ini adalah jendela masuk, paling sering untuk akun Google Anda sendiri, menurut para peneliti.
Bagaimana Peretas Menggunakan Teknik Gangguan Baru Untuk Mencuri Kata Sandi Akun Google
Pelaku ancaman telah menggunakan banyak metode untuk mendapatkan akses ke akun Google yang berharga, kunci kotak masuk Gmail Anda dan harta karun keamanan yang ada di dalamnya, atau frasa sandi dompet kripto Anda. Baru-baru ini kami telah melihat malware menggunakan pengenalan karakter optik untuk mengambil kata sandi kriptodan yang lainnya menargetkan kode otentikasi dua faktor dengan menipu pengguna agar memberikan izin untuk membaca pesan SMSmisalnya. Namun kini ada pemain baru bernama StealC, yang mungkin menggunakan metode paling sederhana namun paling efektif untuk mendapatkan akses ke kredensial akun Google: mengganggu korbannya.
Para peneliti di Open Analysis Lab telah mengungkapkan bagaimana kampanye pembobolan kredensial telah menggunakan teknik ini setidaknya sejak 22 Agustus. Dalam analisapara peneliti OALabs mengonfirmasi bahwa para peretas memaksa korban untuk memasukkan kredensial mereka ke dalam peramban tempat malware kemudian dapat mencurinya. “Teknik ini melibatkan peluncuran peramban korban dalam mode kios dan menavigasi ke halaman login layanan yang ditargetkan, biasanya Google,” kata para peneliti. Karena mode kios adalah penyebaran peramban layar penuh, dan korban tidak dapat menavigasi keluar dari peramban atau menutup aplikasi, hanya satu opsi yang tersedia bagi mereka yang cukup malang untuk terjebak dengan cara ini: jendela login Akun Google.
Pembuang Kredensial Akun Google Bukan Pencuri Kredensial
Menariknya, pembocor kredensial itu sendiri sebenarnya bukan pencuri kredensial. Sebaliknya, ia hanya menerapkan daya ungkit yang diperlukan untuk membuat korban yang frustrasi memasukkan kredensial akun mereka sendiri. Setelah mereka melakukannya, maka malware pencuri kredensial standar, dalam hal ini StealC, disebarkan untuk mengambil kata sandi dari penyimpanan kredensial browser Chrome dan mengirimkannya ke penyerang. Faktanya, seluruh kampanye hanya mungkin dilakukan dengan menggunakan sejumlah elemen berbeda yang diketahui. Terutama alat peretasan Amadey, yang telah digunakan setidaknya selama enam tahun, yang memuat malware. Para peneliti OALabs memuji mitra intelijen ancaman Agensi Wawasan Loader dengan membantu memetakan peta jalan serangan yang umum:
- Korban terinfeksi Amadey.
- Amadey memuat malware StealC.
- Amadey memuat pembersih kredensial.
- Pembilas kredensial meluncurkan peramban, dalam mode kios.
- Korban memasukkan rincian login mereka dan kemudian dicuri oleh malware StealC.
Serangan TrickMo Baru Terlihat Menggunakan Layar Login Palsu dan Perampok Kode 2FA
Jika aksi pencurian kredensial StealC tidak cukup buruk, tampaknya pengguna Chrome memiliki ancaman pencurian kredensial lain yang perlu dikhawatirkan. Para peneliti dari tim intelijen ancaman di spesialis deteksi penipuan Cleafy telah mengidentifikasi varian baru dari Trojan perbankan yang dikenal yang disebut TrickMo yang sekarang berpura-pura menjadi aplikasi peramban web Google Chrome untuk Android. Setelah memasang aplikasi jahat tersebut, korban akan melihat peringatan bahwa Google Play perlu diperbarui dan dialog dengan tombol konfirmasi. Ini sebenarnya memasang aplikasi lain bernama Google Services, yang meminta, ya, Anda sudah menebaknya, izin pengguna. Dengan membantu memandu pengguna melalui proses tersebut, ia mengirim mereka untuk mengaktifkan layanan aksesibilitas untuk aplikasi tersebut. Setelah selesai, ini memberi penyerang izin yang lebih tinggi yang diperlukan untuk mencegat pesan SMS dan kode autentikasi dua faktor sekali pakai yang dikirimkan dengan cara ini. TrickMo juga akan menggunakan serangan overlay HTML, yang pada dasarnya menampilkan layar yang tampak seperti login asli untuk menangkap kredensial akun.
Untuk menghindari deteksi oleh fitur deteksi malware pada peramban dan perangkat, varian TrickMo yang baru akan menggunakan teknik arsip Zip yang tidak terbentuk dengan baik, yang melibatkan penambahan direktori yang diberi nama dengan cara yang sama seperti file sistem yang penting. “Strategi pengaburan yang cerdas ini dapat menyebabkan operasi unzip menimpa file-file penting ini, yang berpotensi menghambat analisis selanjutnya,” kata para peneliti, seraya menambahkan bahwa hal itu juga mempersulit alat analisis otomatis yang digunakan oleh pembela siber untuk memeriksa isi file karena “struktur yang tidak terbentuk dengan baik dapat menyebabkan kesalahan atau ekstraksi yang tidak lengkap, yang secara signifikan mempersulit proses analisis.”
Cara Mengurangi Serangan Mode Kiosk dan Serangan TrickMo
Meskipun hal ini mungkin tampak seperti tugas yang sangat sulit, masih mungkin untuk keluar dari mode kios tanpa mengakses tombol ESC atau F11 yang lebih jelas pada keyboard, seperti Komputer Berbunyi menyarankan.
Pengguna disarankan untuk mencoba kombinasi tombol pintas Alt + F4, Ctrl + Shift + Esc, Ctrl + Alt + Delete, dan Alt + Tab yang dapat memungkinkan Anda untuk masuk ke desktop dan meluncurkan Task Manager untuk mematikan peramban Chrome dengan cara tersebut. Bleeping Computer juga menyarankan penggunaan kombinasi Tombol Win + R untuk membuka prompt perintah Windows tempat Chrome dapat dimatikan dengan “taskkill /IM chrome.exe /F.”
Terakhir, ada opsi mematikan komputer dengan tombol daya. Jika menggunakan cara ini, pastikan untuk melakukan booting ke Safe Mode dengan tombol F8 dan lakukan pemindaian sistem secara menyeluruh untuk mencari infeksi malware guna mencegahnya terjadi lagi.
Saat mengurangi serangan menggunakan varian TrickMo terbaru, sarannya sederhana dan sering diulang: jangan mengunduh perangkat lunak Android dari sumber mana pun selain Play Store resmi.
Rangkaian Serangan Windows Diidentifikasi Menggunakan Dua Kerentanan Zero-Day untuk Mencuri Kata Sandi
Bukan hanya pengguna peramban web Google Chrome yang perlu ekstra waspada bulan ini; semua pengguna peramban menghadapi ancaman pencurian informasi baru dan sangat berbahaya, tampaknya. Badan Keamanan Siber dan Keamanan Infrastruktur AS, yang menggambarkan dirinya sebagai badan pertahanan siber Amerika, kini telah menambahkan kerentanan zero-day Microsoft Windows dalam komponen peramban yang digunakan untuk kompatibilitas mundur ke Katalog Eksploitasi yang Diketahui. Sebagaimana diamanatkan oleh Binding Operational Directive 22-01, perintah wajib yang ditujukan pada cabang eksekutif, departemen, dan lembaga federal ini, mengharuskan mereka memperbarui sistem mereka untuk menambal semua entri KEV dalam jangka waktu yang singkat. Dalam kasus CVE-2024-43461, itu hanya tiga minggu, dengan 7 Oktober sebagai tanggal target.
CVE-2024-43461, telah diatasi oleh rangkuman keamanan Patch Tuesday terbaru dari Microsoft, tetapi sejak itu telah diperbarui ke status zero-day ketika ditemukan telah dieksploitasi oleh kelompok ancaman persisten tingkat lanjut Void Banshee sejak Juli 2024. Kerentanan itu sendiri berada dalam mesin peramban MSHTML, yang dikenal sebagai Trident, yang digunakan oleh Microsoft untuk alasan kompatibilitas mundur bagi pengguna Windows. Secara teknis, CVE-2024-43461 sebenarnya adalah bagian dari rantai eksploitasi dan digunakan bersama dengan kerentanan yang sangat mirip, CVE-2024-38112, yang diperbaiki dalam pembaruan Patch Tuesday Juli 2024. Keduanya adalah muatan eksekusi kode arbitrer jarak jauh, kelemahan spoofing MSHTML.
Dengan menggunakan file pintasan internet Windows, penyerang dapat mengakses peramban web Internet Explorer yang sudah lama tidak digunakan lagi saat diklik. Ini akan mengarahkan korban ke situs web atau halaman yang berada di bawah kendali penyerang dan memulai pengunduhan file aplikasi HTML. Saat pengguna mengklik ini, dan ya, ini melibatkan banyak klik pengguna seperti kebanyakan eksploitasi semacam itu, sejujurnya, skrip akan dijalankan untuk menginstal malware pencuri informasi yang dikenal sebagai Atlantida.
Menurut Trend Micro Inisiatif Hari Nol Peneliti yang pertama kali mengungkap rantai eksploitasi yang digunakan dalam serangan ini, mengatakan kerentanan tersebut ada dalam cara Internet Explorer memberi tahu pengguna setelah file diunduh. “Nama file yang dibuat-buat dapat menyebabkan ekstensi file yang sebenarnya disembunyikan, sehingga pengguna mengira jenis file tersebut tidak berbahaya. Penyerang dapat memanfaatkan kerentanan ini untuk mengeksekusi kode dalam konteks pengguna saat ini,” kata mereka.
Microsoft mengonfirmasi bahwa meskipun telah menghentikan Internet Explorer di sebagian besar platform, MSHTML, EdgeHTML, dan platform skrip yang mendasarinya masih didukung. “Platform MSHTML digunakan oleh mode Internet Explorer di Microsoft Edge serta aplikasi lain melalui kontrol WebBrowser,” katanya. Untuk memastikan bahwa mereka sepenuhnya terlindungi dari ancaman seperti rantai ini yang dieksploitasi oleh kelompok Void Banshee, Microsoft menyarankan pengguna yang memasang pembaruan “hanya keamanan” untuk aplikasi lama tersebut juga memasang pembaruan kumulatif IE terbaru untuk kerentanan ini.
/cdn.vox-cdn.com/uploads/chorus_asset/file/25336519/STK450_EU_G.jpg?w=100&resize=100,75&ssl=1 "Uni Eropa memberi peringatan tentang interoperabilitas iPhone dengan jam tangan dan headphone")
