Hati-hati, Malware RisePro Disebarkan Lewat Situsweb Penyedia Software Crack
Ilustrasi. Foto: Unsplash
Cyberthreat.id – Peneliti menemukan kesamaan antara perangkat lunak jahat (malware) RisePro dan Private Loader.
Keduanya sedang naik daun sebagai malware pencuri informasi, seperti kartu kredit, kata sandi, dan dompet kripto.
RisePro sejauh ini belum terdokumentasi oleh peneliti keamanan siber. Pekan lalu, peneliti perusahaan keamana siber Flashpoint dan Sekoia mengeluarkan temuannya.
Keduanya menegaskan bahwa RisePro disebarkan melalui situsweb berkedok crack perangkat lunak (software crack) dan key generator.
Menurut FlashPoint, aktor di balik RisePro telah menjual ribuan log malware (paket data yang dicuri dari perangkat terinfeksi) di pasar web gelap berbahasa Rusia.
Sementara itu, Sekoia menemukan ada kesamaan kode antara PrivateLoader dan RisePro.
Sebagai malware berbasis C++, RisePro yang ini dijual melalui akun Telegram—pembeli bisa berinteraksi dengan pengembang dan perangkat yang terinfeksi (Telegram bot, menurut FlashPoint, mengingatkan pada malware pencuri kata sandi Vidar; karena keduanya memiliki kesamaan sistem dependensi DLL yang tertanam.
Ada pun Private Loader adalah layanan distribusi malware berbayar per pemasangan (pay-per-install) yang juga sama-sama menyaru sebagai software crack, key generator, dan modifikasi game.
Dalam transaksi, pengembang PrivateLoader akan memberikan sampel malware yang ingin distribusikan, termasuk menyarankan kriteria calon korban. Mereka menggunakan jaringan situsweb palsu dan telah diretas untuk mendistribusikan malware.
Pada Februari 2022, perusahaan keamanan siber Intel471 lebih dulu mendeteksi layanan PrivateLoader. Kemudian, pada Mei, perusahaan keamanan TrendMicro mengamati PrivateLoader yang berubah menjadi trojan akses jarak jauh (remote access trojan/RAT) bernama NetDooka.
Sebagai penyedia layanan, PrivateLoader saat ini masih aktif menyebarkan dua malware pencuri populer, RedLine atau Racoon.
Dengan adanya kesamaan antara PrivateLoader dan RisePro, ada kemungkinan di balik keduanya adalah orang atau kelompok yang sama. Atau, RisePro adalah evolusi dari PrivateLoader. Dugaan lain, bisa jadi hasil kreasi dari eks pengembang PrivateLoader.
Sasaran RisePro
RisePro memiliki kemampuan untuk mencuri berbagai informasi dari aplikasi, browser, dompet crypto, dan ekstensi browser.
Target web browser yang disasar malware ini, antara lain Google Chrome, Firefox, Maxthon3, K-Melon, Sputnik, Nichrome, Uran, Chromodo, Netbox, Comodo, Torch, Orbitum, QIP Surf, Coowon, CatalinaGroup Citrio, Chromium, Elements, Vivaldi, Chedot, CentBrowser, 7start, ChomePlus, Iridium, Amigo, Opera, Brave, CryptoTab, Yandex, IceDragon, BlackHaw, Pale Moon, dan Atom.
Lalu, ekstensi browser, antara lain Authenticator, MetaMask, Jaxx Liberty Extension, iWallet, BitAppWallet, SaturnWallet, GuildWallet, MewCx, Wombat, CloverWallet, NeoLine, RoninWallet, LiqualityWallet, EQUALWallet, Guarda, Coinbase, MathWallet, NiftyWallet, Yoroi, BinanceChainWallet, TronLink, Phantom, Oxygen, PaliWallet, PaliWallet, Bolt X, ForboleX, XDEFI Wallet, dan Maiar DeFi Wallet.
Ada pun untuk aset crypto mencakup: Bitcoin, Dogecoin, Anoncoin, BBQCoin, BBQCoin, DashCore, Florincoin, Franko, Freicoin, GoldCoin (GLD), IOCoin, Infinitecoin, Ixcoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Zcash, devcoin, digitalcoin, Litecoin, dan Reddcoin.
Terakhir, perangkat lunak yang menjadi tujuan serangan, seperti Discord, battle.net, dan Authy Desktop, tulis BleepingComputer, diakses Senin (26 Desember 2022).[]
