Awas, Para YouTuber Ditarget Malware Pencuri Kata Sandi

Cyberthreat.id – Pembuat konten YouTube menjadi target penjahat siber dengan perangkat lunak pencuri kata sandi dan cookies.

Serangan tersebut diamati oleh Grup Analisis Ancaman Google sejak akhir 2019. Operator jahat tersebut mendistribusikan sejumlah malware yang selama ini populer dan mudah ditemukan di platform Github.

Beberapa malware yang dipakai, antara lain “RedLine”, “Vidar”, “Predator The Thief”, “Nexus stealer”, “Azorult”, “Raccoon”, “Grand Stealer”, “Vikro Stealer”, “Masad”, dan “Kantal”. Bahkan, termasuk open source malware seperti “Sorano” dan “Adamantium Thief”.

Menurut Google, operator di balik serangan tersebut terkait dengan geng peretas yang direkrut dari sebuah forum peretasan berbahasa Rusia. Modus yang dipakai mereka untuk menjerat target ialah menawarkan demo perangkat lunak antivirus, VPN, pemutar musik, edit foto, atau game online.

Jika target telah berhasil diretas, akun YouTube-nya dijual ke grup peretasan atau dipakai untuk menyebarkan penipuan mata uang kripto, ujar Google dalam ulasannya di blog perusahaan, Rabu (20 Oktober 2021).

Metode yang dipakai para penjahat tersebut dikenal “Cookies Theft” atau juga disebut “pass-the-cookie attack”. “Teknik pembajakan yang memungkinkan akses ke akun pengguna dengan cookies yang disimpan di peramban web (web browser),” kata Google.

Meski teknik tersebut telah lama ada selama beberapa dekade, kemunculan ancaman ini sekarang cukup populer di tengah meluasnya penggunaan otentikasi multi-faktor (MFA). Oleh karenanya, penyerang mulai mengalihkan teknik serangan dengan taktik rekayasa sosial (social engineering).

Bagaimana malware didistribusikan?

Dalam pengamatan Google, penjahat siber mengirimkan pesan email bisnis palsu alias phishing ke email pembuat konten atau YouTuber. Email ini mengklaim seolah-olah berasal dari perusahaan yang sah dan menawarkan kolaborasi iklan video.

“Setelah target menyetujui kesepakatan, halaman arahan malware yang disamarkan sebagai URL unduhan perangkat lunak dikirim melalui email atau PDF di Google Drive, dan dalam beberapa kasus, dokumen Google berisi tautan phishing,” ujar Google.

Dalam taktik itu, tim peneliti mengamati terdapat sekitar 15.000 akun aktor jahat. Selain itu, penyerang juga mendaftarkan domain-domain palsu terkait perusahaan palsu dan tempat menaruh malware.

“Hingga saat ini, kami telah mengidentifikasi setidaknya 1.011 domain yang dibuat hanya untuk tujuan ini. Beberapa situs web meniru situs perangkat lunak yang sah, seperti Luminar, Cisco VPN, game di Steam, dan beberapa dibuat menggunakan template online. Selama pandemi, kami juga menemukan penyerang yang menyamar sebagai penyedia berita dengan “perangkat lunak berita Covid19,” ujar Google.

“Dalam satu kasus, kami mengamati halaman media sosial palsu yang menyalin konten dari perusahaan perangkat lunak yang ada; contoh halaman palsu yaitu URL asli diganti dengan yang mengarah ke unduhan malware pencurian cookies.”

Jika target atau korban telah terjebak menjalankan perangkat lunak palsu, malware pencuri cookies dan kata sandi tersebut mulai dieksekusi oleh peretas. Malware lalu menggasak kredensial yang tersimpan di peramban dan mengirimkannya ke server perintah dan kontrol milik peretas.

“Sebagian besar malware yang diamati mampu mencuri kata sandi dan cookie pengguna. Beberapa sampel menggunakan beberapa teknik anti-sandboxing termasuk file yang diperbesar, arsip terenkripsi, dan penyelubungan IP unduhan. Beberapa diamati menampilkan pesan kesalahan palsu yang mengharuskan pengguna mengklik untuk melanjutkan eksekusi,” tutur Google.

Pencegahan

Google pun memberikan sejumlah saran bagi para YouTuber agar terhindar dari serangan malware pencuri cookies tersebut, antara lain:

• Perhatikan peringatan Safe Browsing dengan serius. Untuk menghindari malware yang memicu deteksi antivirus, penyerang mematikan atau mengabaikan peringatan.
• Sebelum menjalankan perangkat lunak, lakukan pemindaian virus menggunakan antivirus atau alat pemindaian virus online seperti VirusTotal untuk memverifikasi keabsahan file.
• Aktifkan mode “Perlindungan Penjelajahan Aman yang Disempurnakan” (Enhanced Safe Browsing Protection)di browser Chrome , fitur ini meningkatkan peringatan pada halaman & file web yang berpotensi mencurigakan.
• Waspadai arsip terenkripsi yang sering melewati pemindaian deteksi antivirus, meningkatkan risiko menjalankan file berbahaya.
• Lindungi akun Anda dengan verifikasi dua langkah (MFA) yang memberikan lapisan keamanan ekstra ke akun Anda. Mulai 1 November, kreator YouTube yang melakukan monetisasi harus mengaktifkan MFA di akun Google yang digunakan untuk channel YouTube.[]