Image credit: Freepix
Infiltrasi Storm Data Indonesia Jadi Incaran – Penghujung awal tahun 2026 ditandai dengan munculnya ancaman siber baru yang cukup mengkhawatirkan di forum-forum bawah tanah.
Sebuah perangkat lunak pencuri data (infostealer) bernama “Storm” mulai diperkenalkan sebagai layanan berlangganan dengan harga di bawah US$1.000 per bulan.
Munculnya Storm bukan sekadar menambah daftar panjang ancaman yang ada, melainkan merepresentasikan pergeseran strategi para kriminal siber dalam memanen kredensial, session cookies, hingga dompet kripto milik korbannya.
Berbeda dengan generasi sebelumnya, Storm tidak lagi mencoba melakukan dekripsi data langsung di perangkat korban.
Strategi ini diambil karena alat keamanan endpoint modern sudah sangat mahir mendeteksi aktivitas akses basis data peramban secara lokal.
Dengan memindahkan seluruh proses dekripsi ke server milik penyerang, Storm berhasil menghilangkan jejak digital yang biasanya diandalkan oleh sistem keamanan untuk menghentikan pencurian data.
Melawan “App-Bound Encryption” Google
Munculnya Storm merupakan respons langsung terhadap langkah keamanan yang diperkenalkan oleh Google melalui App-Bound Encryption pada Chrome 127 (Juli 2024).
Teknologi ini mengunci kunci enkripsi pada aplikasi Chrome itu sendiri, sehingga dekripsi lokal menjadi jauh lebih sulit bagi perangkat lunak jahat.
Awalnya, para pengembang peretas mencoba melakukan injeksi langsung ke dalam proses Chrome atau menyalahgunakan protokol debugging.
Namun, teknik tersebut masih meninggalkan jejak yang bisa dibaca oleh alat keamanan. Storm membawa perubahan radikal dengan cara:
- Pengiriman File Terenkripsi: Alih-alih mendekripsi kata sandi di komputer korban, Storm langsung mengambil file yang masih terenkripsi dan mengirimkannya ke infrastruktur milik penyerang.
- Dukungan Berbagai Peramban: Storm mampu menangani peramban berbasis Chromium maupun Gecko (seperti Firefox, Waterfox, dan Pale Moon) secara server-side. Sebagai perbandingan, versi infostealer lain yang ada di pasar masih melakukan pemrosesan data Firefox secara lokal.
|
Baca juga: Warlock Fokus Incar Server Sharepoint |
Pembajakan Sesi Tanpa Kata Sandi
Salah satu fitur paling mematikan dari Storm adalah kemampuannya untuk mengotomatisasi pembajakan sesi (session hijacking). Setelah data peramban didekripsi di panel operator, peretas tidak perlu lagi memasukkan kata sandi secara manual.
Dengan menggunakan Google Refresh Token yang dicuri dan menyamakan lokasi geografis melalui proxy SOCKS5, panel Storm dapat memulihkan sesi autentikasi korban secara diam-diam.
Hal ini membuat perlindungan Multi-Factor Authentication (MFA) menjadi tidak relevan. Peneliti mencatat bahwa satu peramban karyawan yang terkompromi dapat memberikan akses penuh kepada peretas ke:
- Platform SaaS
- Alat internal perusahaan
- Hingga lingkungan cloud tanpa pernah memicu peringatan terkait kata sandi.
Infrastruktur dan Operasi Tim Kejahatan Siber
Storm didesain bukan hanya sebagai alat, melainkan sebagai platform manajemen kejahatan yang profesional. Operator dapat menghubungkan Virtual Private Server (VPS) milik mereka sendiri ke server pusat Storm.
Struktur ini bertujuan untuk melindungi server pusat dari upaya penutupan (takedown) oleh aparat penegak hukum, karena laporan penyalahgunaan akan menghantam server operator terlebih dahulu.
Fitur manajemen tim dalam Storm memungkinkan satu lisensi digunakan oleh sekelompok kriminal siber dengan pembagian tugas yang jelas, mulai dari pembuat build (versi malware), pengelola log, hingga spesialis pemulihan cookie.
Sistem ini juga dilengkapi dengan deteksi domain otomatis yang melabeli kredensial berdasarkan layanan, seperti Google, Facebook, Coinbase, hingga cPanel, sehingga memudahkan penyerang untuk memprioritaskan akun mana yang akan dikuras terlebih dahulu.
Selain kredensial peramban, Storm memiliki kemampuan pengumpulan data yang sangat luas:
- Pengambil File: Mengambil dokumen penting dari direktori pengguna berdasarkan aturan tertentu.
- Data Aplikasi Pesan: Mencuri data sesi dari aplikasi populer seperti Telegram, Signal, dan Discord.
- Dompet Kripto: Menargetkan ekstensi peramban maupun aplikasi desktop yang berhubungan dengan aset kripto.
- Eksekusi dalam Memori: Semua proses dijalankan langsung di memori untuk meminimalisir kemungkinan deteksi oleh pemindai file di disk.
|
Baca juga: Spearphishing Spesifik dan Berbahaya |
Jangkauan Global dan Skema Harga
Hingga investigasi terakhir dilakukan, panel log Storm telah mencatat lebih dari 1.700 entri yang mencakup berbagai negara, termasuk:
- Indonesia
- Amerika Serikat
- Brasil
- India
- Vietnam.
Data yang dicuri sering kali berakhir di pasar gelap kredensial, yang kemudian digunakan sebagai pintu masuk awal bagi serangan siber yang lebih terukur seperti ransomware.
Storm dijual dengan sistem langganan bertingkat:
- Paket Demo (7 Hari): US300 untuk ujicoba singkat. LisensiStandarb(Bulanan): US900 per bulan.
- Lisensi Tim (Bulanan): US$1.800 per bulan, mendukung hingga 100 operator dan 200 build.
Satu hal yang perlu diwaspadai adalah meskipun langganan berakhir, malware yang sudah terpasang di perangkat korban akan tetap berjalan dan terus mengirimkan data hasil panen mereka.
Rekomendasi Mitigasi dan Deteksi
Munculnya Storm menandai pergeseran besar di pasar infostealer, di mana pencurian session cookie kini menjadi prioritas utama menggantikan pencurian kata sandi konvensional. Peneliti menyarankan beberapa langkah perlindungan bagi organisasi:
- Pantau Login Tidak Lazim: Waspadai aktivitas masuk dari lokasi yang tidak dikenal atau perangkat yang baru pertama kali muncul, meskipun menggunakan sesi yang terlihat sah.
- Gunakan Proteksi Endpoint Modern: Gunakan solusi keamanan seperti ESET yang memiliki fitur perlindungan proaktif terhadap pencurian cookie dan mampu mendeteksi komunikasi mencurigakan ke server Command-and-Control (C2).
- Batasi Masa Berlaku Sesi: Kurangi durasi aktif sesi pada aplikasi kritis untuk memaksa re-autentikasi lebih sering.
- Edukasi Karyawan: Berikan pelatihan mengenai bahaya mengunduh perangkat lunak dari sumber tidak tepercaya, karena infostealer sering kali menyamar sebagai crack aplikasi atau utilitas gratis.
Storm adalah pengingat bahwa pertahanan siber harus selalu berevolusi lebih cepat daripada penyerangnya. Di tahun 2026 ini, fokus keamanan harus melampaui sekadar menjaga kata sandi, menjaga integritas sesi aktif adalah garis pertahanan baru yang tidak boleh diabaikan.
Dengan beralihnya dekripsi ke sisi server, deteksi perilaku di tingkat jaringan dan aplikasi menjadi kunci utama untuk menghentikan pencurian data sebelum dampak kerusakannya meluas.
Sumber berita:
