Aplikasi Konferensi Video Pencuri Informasi
Muncul aplikasi konferensi video pencuri informasi, semakin seringnya orang menggunakan aplikasi semacam ini mendorong pelaku kejahatan siber mengambil peluang.
Peneliti keamanan siber telah memperingatkan adanya operasi penipuan baru yang memanfaatkan aplikasi konferensi video palsu untuk mengirimkan pencuri informasi.
Aplikasi ini diberi nama Realst yang menargetkan orang-orang yang bekerja di Web3 dengan kedok rapat bisnis palsu untuk menipu.
|
Baca juga: Tips Amankan Aplikasi Video Konferensi Zoom dari Zoom Bombing |
Perusahaan Palsu
Pelaku ancaman di balik malware tersebut telah mendirikan perusahaan palsu menggunakan AI untuk meningkatkan legitimasi mereka.
Perusahaan tersebut menghubungi target untuk menyiapkan panggilan video, yang mendorong pengguna untuk mengunduh aplikasi rapat dari situs web, yang merupakan infostealer Realst.
Aktivitas tersebut telah diberi nama sandi Meeten oleh peneliti keamanan, karena penggunaan nama-nama seperti:
- Clusee.
- Cuesee.
- Meeten.
- Meetone.
- Meetio
Dari nama situs-situs palsu tersebut kemudian aktivitas ini diberi nama sesuai dengan salah satunya.
Serangan tersebut melibatkan pendekatan terhadap calon target di Telegram untuk membahas peluang investasi potensial, mendesak mereka untuk bergabung dalam panggilan video yang diselenggarakan di salah satu platform yang meragukan.
Pengguna yang masuk ke situs tersebut diminta untuk mengunduh versi Windows atau macOS tergantung pada sistem operasi yang digunakan.
Setelah diinstal dan diluncurkan di macOS, pengguna akan disambut dengan pesan yang menyatakan ‘Versi aplikasi saat ini tidak sepenuhnya kompatibel dengan versi macOS Anda’ dan mereka perlu memasukkan kata sandi sistem agar aplikasi berfungsi seperti yang diharapkan.
Hal ini dilakukan melalui teknik osascript yang telah diadopsi oleh beberapa keluarga pencuri macOS seperti Atomic macOS Stealer, Cuckoo, MacStealer, Banshee Stealer, dan Cthulhu Stealer.
Tujuan akhir dari serangan ini adalah untuk mencuri berbagai jenis data sensitif, termasuk dari dompet mata uang kripto, dan mengekspornya ke server jarak jauh.
Malware ini juga dilengkapi untuk mencuri kredensial Telegram, informasi perbankan, data iCloud Keychain, dan cookie browser dari Google Chrome, Microsoft Edge, Opera, Brave, Arc, Cốc Cốc, dan Vivaldi.
|
Baca juga: Video Konferensi dengan Aman Saat Pertemuan Online |
Aplikasi Konferensi Video Palsu
Versi Windows dari aplikasi Nullsoft Scriptable Installer System (NSIS) yang ditandatangani dengan tanda tangan sah yang kemungkinan dicuri dari Brys Software Ltd. Tersemat dalam penginstal tersebut adalah aplikasi Electron yang dikonfigurasi untuk mengambil file yang dapat dieksekusi pencuri, biner berbasis Rust, dari domain yang dikendalikan penyerang.
Pelaku ancaman semakin banyak menggunakan AI untuk membuat konten bagi operasi mereka. Penggunaan AI memungkinkan pelaku untuk dengan cepat membuat konten situs web yang realistis yang menambah legitimasi pada penipuan mereka, dan membuatnya lebih sulit untuk mendeteksi situs web yang mencurigakan.
Ini bukan pertama kalinya merek software rapat palsu dimanfaatkan untuk mengirimkan malware. Awal Maret ini, peneliti mengungkapkan bahwa mereka mendeteksi situs web palsu yang disebut meethub[.]gg untuk menyebarkan malware pencuri yang memiliki kesamaan dengan Realst.
Kemudian pada bulan Juni, juga diketahui sebuah operasi yang dijuluki markopolo yang menargetkan pengguna mata uang kripto dengan perangkat lunak rapat virtual palsu untuk menguras dompet mereka dengan menggunakan pencuri seperti Rhadamanthys, Stealc, dan Atomic.
Perkembangan ini terjadi ketika pelaku di balik malware macOS Banshee Stealer menghentikan operasi mereka setelah source code mereka bocor.
Tidak jelas apa yang memicu kebocoran tersebut. Malware tersebut diiklankan di forum kejahatan siber dengan biaya berlangganan bulanan sebesar $3.000.
Hal ini juga mengikuti munculnya keluarga malware pencuri baru seperti:
- Fickle Stealer.
- Wish Stealer.
- Hexon Stealer.
- Celestial Stealer.
Bahkan ketika pengguna dan bisnis yang mencari perangkat lunak bajakan dan alat AI menjadi target RedLine Stealer dan Poseidon Stealer.
Para penyerang di balik operasi ini jelas tertarik untuk mendapatkan akses ke perusahaan pengusaha berbahasa Rusia yang menggunakan perangkat lunak untuk mengotomatiskan proses bisnis.
Sumber berita:
