RedLine Alasan Kenapa Menyimpan Data di Browser Berbahaya

Mencuri informasi merupakan bisnis utama kejahatan siber, pencurian informasi yang berhasil apalagi dalam jumlah besar dapat membawa keberuntungan yang berlipat ganda bagi pelakunya. Informasi pribadi dari korban merupakan kunci ke gerbang harta karun menuju kemakmuran.

Pengguna internet sebagai target operasi setiap peretas di muka bumi punya kebiasaan dalam menyimpan informasi pribadi mereka yang berupa kata sandi, mereka yang sudah teredukasi dengan baik akan menyimpannya di pengelola kata sandi atau password manager.

Ada juga yang menyimpannya di laptop atau PC dengan melindunginya melalui enkripsi, tapi banyak juga yang menyimpannya begitu saja tanpa perlindungan atau menyimpan kata sandi mereka di browser/peramban yang biasa mereka gunakan untuk berselancar di internet. Dan kasus yang terbaru berkenaan dengan yang terakhir.

Sebuah malware pencuri informasi yang dijuluki sebagai malware RedLine diciptakan khusus menargetkan browser web populer seperti Chrome, Edge, dan Opera. Peretas menunjukkan bahwa mereka mengetahui dengan jelas kebiasaan buruk pengguna yang menyimpan kata sandi di browser dan cara ini merupakan sesuatu yang buruk dan harus dihindari.

Malware ini adalah pencuri informasi komoditas yang dapat dibeli dengan harga sekitar $200 atau sekitar 2,8 juta jika dalam rupiah di forum kejahatan dunia maya dan malware ini mudah digunakan tanpa memerlukan banyak pengetahuan sehingga tidak membutuhkan keahlian khusus.

Laporan terbaru juga memperingatkan bahwa kenyamanan menggunakan fitur login otomatis di browser web menjadi masalah keamanan substansial yang mempengaruhi organisasi dan individu.

Cara kerja

berawal dari perangkat terinfeksi dari seorang pekerja di sebuah perusahaan yang diperoleh dari meminjam temannya. Mereka tidak menyadari jika perangkat tersebut telah tertular oleh malware pencuri.

Malware dilaporkan mencuri detail akun dan kata sandi dari berbagai situs termasuk informasi untuk mengakses VPN perusahaan. Peretas kemudian menggunakan data tersebut untuk memata-matai data bisnis dan pribadi di sana.

Meskipun komputer yang terinfeksi memiliki solusi anti-malware yang diinstal, ia gagal mendeteksi dan menghapus RedLine Stealer. Malware ini menargetkan file data masuk yang ditemukan di semua browser web berbasis Chromium dan merupakan database SQLite tempat nama pengguna dan kata sandi disimpan.

Sementara penyimpanan kata sandi browser dienkripsi, seperti yang digunakan oleh browser berbasis Chromium, malware pencuri informasi dapat mendekripsi penyimpanan secara terprogram selama mereka masuk sebagai pengguna yang sama. Saat RedLine berjalan sebagai pengguna yang terinfeksi, ia akan dapat mengekstrak kata sandi dari profil browser mereka.

Google Chrome mengenkripsi kata sandi dengan bantuan fungsi CryptProtectData, yang dibangun ke dalam Windows. Sekarang, meskipun ini bisa menjadi fungsi yang sangat aman menggunakan algoritma triple-DES dan membuat kunci khusus pengguna untuk mengenkripsi data, itu masih dapat didekripsi selama karena Anda masuk ke akun yang sama dengan pengguna yang mengenkripsinya,

Fungsi CryptProtectData memiliki kembaran, yang melakukan kebalikannya; CryptUnprotectData, yang bertugas mendekripsi data. Dan jelas ini akan sangat berguna dalam mencoba mendekripsi kata sandi yang disimpan

Setelah mengumpulkan kredensial yang dicuri, pelaku ancaman menggunakannya dalam serangan lebih lanjut atau mencoba memonetisasinya dengan menjualnya di pasar web gelap. Hasil dari pencurian informasi tersebut muncul di pasar web gelap 2easy, di mana setengah dari semua data yang dijual dicuri menggunakan malware ini.

Dan kasus distribusi RedLine baru-baru ini adalah kampanye spam formulir kontak situs web yang menggunakan file Excel XLL yang mengunduh dan menginstal malware pencuri kata sandi.

Fitur RedLine

Mengumpulkan informasi

• Mengumpulkan dan mencuri informasi yang disimpan ke browser
• Masuk akun dan kata sandi
• Cookies
• Isi Otomatis
• Informasi Kartu Kredit
• Browser menargetkan serangan
• Semua browser berbasis Chromium
• Semua browser berbasis Gecko
• Informasi dompet mata uang kripto
• File benih disimpan ke sistem

Mengumpulkan Info Sistem

• Mengumpulkan info sistem default seperti alamat IP sistem dan info OS
• Mengumpulkan informasi perangkat keras seperti prosesor sistem, kapasitas memori, dan GPU
• Mengumpulkan informasi browser dan perangkat lunak yang diinstal di sistem
• Mengumpulkan proses dan program anti malware terinstal

C&C

• Mengontrol sistem target melalui komunikasi protokol SOAP
• Mengunggah dan mengunduh file
• Mengakses file arbitrer dan menjalankan

Apa yang harus dilakukan

Menggunakan browser web untuk menyimpan kredensial login Anda memang menggoda dan nyaman, tetapi melakukannya berisiko bahkan tanpa infeksi malware.

Dengan melakukannya, peretas lokal atau jarak jauh dengan akses ke mesin dapat mencuri semua kata sandi Anda dalam hitungan menit. Sebagai pencegahan, berikut beberapa hal yang harus dilakukan.

• Sebagai gantinya, akan lebih baik menggunakan pengelola kata sandi khusus yang menyimpan semuanya dalam brankas terenkripsi dan meminta kata sandi utama untuk membukanya.
• Selain itu, Anda harus mengonfigurasi aturan khusus untuk situs web sensitif seperti portal e-banking atau halaman web aset perusahaan, yang memerlukan input kredensial manual.
• Aktifkan autentikasi multi faktor di mana pun ini tersedia, karena langkah tambahan ini dapat menyelamatkan Anda dari insiden pengambilalihan akun meskipun kredensial Anda telah disusupi.