Infostealer atau pencuri info adalah malware yang dirancang untuk mengumpulkan informasi dari suatu sistem. Bentuk paling umum dari infostealer mengumpulkan informasi login, seperti nama pengguna dan kata sandi, yang dikirimkan ke sistem lain baik melalui email atau melalui jaringan. Infostealer umum lainnya, seperti keyloggers, dirancang untuk mencatat penekanan tombol pengguna yang dapat mengungkapkan informasi sensitif.
Membahas infostealer, dalam riset ESET baru-baru ini, setelah mengalami jeda singkat di akhir 2021, mereka kembali tumbuh di T1 2022, naik hampir 12%. Seperti biasa, kekuatan pendorong di balik sebagian besar deteksi adalah spyware, yang juga menyumbang lonjakan paling signifikan pada 22 Maret 2022, milik MSIL/Spy.AgentTesla. Spyware dan malware Perbankan meningkat dalam jumlah deteksi, Backdoors menurun, dan Cryptostealers menurun tajam dalam tren dan jumlah keduanya.
|
Baca juga: Mengenal Malware Lebih Dekat |
Spyware meningkat
Pada T1 2022, Spyware tumbuh sebesar 18,2% dan menghasilkan 64,4% dari semua deteksi Infostealer, semakin memperkuat statusnya sebagai subkategori Infostealer terbesar. Hal ini dibantu oleh keterjangkauan relatif malware spyware-as-a-service di forum bawah tanah.
Contoh khas dari model bisnis ini, trojan MSIL/Spy.AgentTesla, atau hanya Agen Tesla, kembali menjadi spyware paling menonjol menurut data telemetri ESET, tumbuh sebesar 243,6% antara T3 2021 dan T1 2022. Di T1, sedang disebarkan oleh dokumen PowerPoint berbahaya dalam kampanye phising. Selain itu, ESET mendaftarkan distribusinya dalam kampanye phising lain di samping backdoor Win/Agent menjelang akhir April.
Infostealer teratas
10 Deteksi Infostealer teratas juga dipimpin oleh spyware, yang menempati dua tempat pertama dalam daftar. Agen Tesla memiliki angka tertinggi, dengan 19,3% dari semua deteksi Infostealer dan 29% dari deteksi Spyware. Itu diikuti oleh trojan Win/Formbook, yang menyumbang 14% dari Infostealers dan 21,1% dari Spyware. Trojan MSIL/Spy.Agent menempati urutan keempat dalam peringkat keseluruhan dengan 5,8% dan adalah spyware ketiga yang paling banyak terdeteksi dengan 8,8%.
Sementara peringkat teratas dalam daftar secara tradisional diambil oleh spyware dan backdoors, kali ini keluarga malware perbankan naik ke posisi ketiga. Trojan JS/Spy.Banker mewakili 6,8% dari Pencuri info. Keluarga malware ini, juga dikenal sebagai Magecart, menyuntikkan kode skimmer JavaScript ke situs web untuk mengumpulkan informasi kartu kredit.
Antara T3 2021 dan T1 2022, ia tumbuh sebesar 177,7% dan menjadi kurang lebih identik dengan subkategori malware Banking, terhitung 77,6% dari deteksi malware Banking. Malware yang paling terdeteksi berikutnya dalam subkategori, trojan MSIL/ClipBanker, hanya kalah sedikit dibandingkan dengan JS/Spy.Banker, mengalami penurunan sebesar 59,4% dan hanya merupakan 4,5% dari malware Perbankan.
Subkategori ini tumbuh sebesar 75% pada T1 2022 dan menyumbang 8,5% dari semua deteksi Infostealer. Ini mengalami lonjakan besar pada 19 April, yang disebabkan oleh JS/Spy.Banker tersebut, dengan Thailand sebagai negara yang paling terpengaruh.
|
Baca juga: Trik Hacker Menyusupkan Malware ke Perangkat |
TrickBot multiguna
TrickBot, malware perbankan menjadi alat serangan multiguna yang menargetkan perusahaan, dan salah satu andalan lanskap ancaman, mengakhiri operasinya pada bulan Februari. Ada spekulasi bahwa geng di belakang TrickBot, yang memiliki hubungan dekat dengan grup ransomware Conti, memutuskan untuk mengalihkan fokusnya ke BazarLoader. Sementara TrickBot sangat sukses dan bahkan berhasil kembali dari upaya gangguan pada tahun 2020, tidak ada pembaruan signifikan pada intinya sesudahnya.
BazarLoader, alat lain di gudang pembuat TrickBot, menggunakan teknik yang lebih canggih, dan lebih sulit untuk dilacak dan dianalisis. Menariknya, mungkin saja BazarLoader telah diganti, karena laporan mulai bermunculan bahwa loader baru bernama Bumblebee telah menyebar sejak Maret. Bumblebee sedang digunakan oleh aktor ancaman yang sama yang sebelumnya menggunakan BazarLoader. Masih harus dilihat mana dari loader ini yang akan menang pada akhirnya, atau jika keduanya tetap beredar.
Kebanyakan trojan perbankan Amerika Latin tidak menyimpang jauh dari pola biasa mereka, mencuri kredensial bank dan menargetkan sebagian besar Meksiko dan Brasil dengan sesekali masuk ke Spanyol. Namun, sepertinya salah satu anggota klaster malware ini mencoba memperluas cakrawalanya: Grandoreiro menambahkan lebih dari 900 target baru ke dalam portofolionya, di antaranya pertukaran mata uang kripto dan game NFT. Trojan perbankan LATAM ini saat ini dapat dianggap sebagai yang paling aktif di grup.
Tampaknya sementara Grandoreiro mulai merambah wilayah cryptostealer, cryptostealer sendiri tidak terlalu aktif. Angka deteksi mereka turun 51,6% pada T1 2022, melanjutkan tren penurunan mereka yang seharusnya membuat semua pemilik cryptocurrency cukup senang. Subkategori ini mengalami satu lonjakan penting pada 25 Januari yang disebabkan oleh trojan Win/PSW.Delf, yang upaya serangannya sebagian besar terdaftar di Jepang dan Hong Kong pada saat itu.
|
Baca juga: Discord Ladang Baru Pengembangbiakan Malware |
Bahaya Infostealer
Paparan di atas cukup menjelaskan bagaimana infostealer menjadi salah satu favorit bagi penjahat dunia maya. Dengan data curian yang mereka peroleh, banyak ha yang bisa dilakukan dan tentu saja akan sangat merugikan bagi pemilik data aslinya.
Berikut adalah beberapa hal yang dapat dicuri dan diubah menjadi uang oleh penjahat dunia maya dengan infostealer:
- Informasi kartu bank Anda dapat digunakan secara langsung atau dijual kembali kepada orang lain yang melakukan pembelian dengan kartu Anda,
- Login akun Anda kemudian dapat digunakan untuk mencuri pembelian Anda sebelumnya misalnya pembelian dalam game yang dapat dijual kembali,
- Login akun Anda dapat membeli barang baru jika Anda menyimpan kartu bank Anda,
- Login akun Anda dapat dijual sendiri:
- Akun sering dijual dalam jumlah besar ke spesialis kejahatan dunia maya lainnya untuk dicoba dimonetisasi,
- Beberapa akun bernilai secara individual, misalnya akun Instagram atau Snapchat dengan pegangan yang dicari
- Kemungkinan foto dan dokumen dapat digunakan untuk pemerasan atau dimonetisasi dengan cara lain:
- Perusahaan yang terkena ransomware semakin menghadapi prospek data internal dan kekayaan intelektual mereka dipublikasikan secara online jika mereka tidak membayar
- Pada tahun 2014, sejumlah besar wanita terkenal memiliki foto yang sangat pribadi yang dicuri dari akun iCloud mereka dan diterbitkan, sesuatu yang secara signifikan menguntungkan pemilik papan pesan dan situs web pornografi tertentu yang tidak etis.
|
Baca lainnya: |
