Langsung ke konten utama
Indonesia Blog

Kampanye phishing yang menarget kreator YouTube dengan malware Cookie Theft



20 Oktober 2021 | Ashley Shen | Threat Analysis Group
Threat Analysis Group dari Google melacak pihak tidak bertanggung jawab yang terlibat dalam kampanye disinformasi, peretasan yang didukung pemerintah, dan praktik penyalahgunaan dengan motif finansial. Sejak akhir tahun 2019, tim kami telah menghentikan kampanye phishing dengan motif finansial yang menarget YouTuber dengan malware Cookie Theft. 

Pihak tidak bertanggung jawab di balik kampanye ini, yang menurut kami terkait dengan sekelompok peretas yang direkrut di forum berbahasa Rusia, memancing targetnya dengan iming-iming peluang kolaborasi palsu (biasanya berupa demo software antivirus, VPN, pemutar musik, pengeditan foto, atau game online), lalu membajak channel mereka, kemudian menjualnya ke penawar tertinggi, atau menggunakannya untuk menyebarluaskan scam mata uang kripto.  

Bekerja sama dengan tim YouTube, Gmail, Trust & Safety, CyberCrime Investigation Group, dan Safe Browsing, langkah perlindungan yang kami lakukan berhasil menurunkan volume email phising terkait di Gmail sebesar 99,6% sejak Mei 2021. Kami telah memblokir 1,6 juta pesan yang ditargetkan kepada pengguna, menampilkan sekitar 62 ribu halaman peringatan phishing Safe Browsing, memblokir 2,4 ribu file, dan berhasil memulihkan kurang lebih 4 ribu akun. Berkat peningkatan upaya deteksi ini, kami mengamati bahwa penyerang kini mulai beralih dari Gmail ke penyedia email lainnya (sebagian besar email.cz, seznam.cz, post.cz, dan aol.com). Selain itu, untuk melindungi pengguna kami, kami telah melaporkan aktivitas di bawah ini ke FBI untuk dilakukan investigasi lebih lanjut.

Dalam postingan blog ini, kami akan memberikan beberapa contoh taktik, teknik, dan prosedur khusus yang digunakan untuk memancing para korban, serta sejumlah panduan agar pengguna dapat melindungi dirinya sendiri. 

Taktik, teknik, dan prosedur

Cookie Theft, yang juga dikenal sebagai serangan “pass-the-cookie”, adalah teknik pembajakan sesi yang memungkinkan akses ke akun pengguna yang menyimpan cookie sesi di browser. Meskipun telah ada selama beberapa dekade, teknik ini kembali muncul menjadi masalah keamanan utama akibat semakin meluasnya penggunaan autentikasi multi-faktor yang semakin menyulitkan tindak penyalahgunaan, sehingga para penyerang kini beralih menggunakan taktik manipulasi psikologis.

Memanipulasi YouTuber dengan penawaran iklan

Ada banyak kreator YouTube yang mencantumkan alamat email di channelnya untuk keperluan bisnis. Dalam kasus ini, para penyerang biasanya berpura-pura menjadi perusahaan resmi dan mengirim email bisnis yang menawarkan peluang kolaborasi membuat video iklan.

Ilustrasi tanpa text

Contoh pesan email phishing

Phishing biasanya dimulai dengan email khusus yang memperkenalkan perusahaan dan produknya. Setelah target menyetujui kesepakatan, halaman arahan malware yang disamarkan sebagai URL untuk mendownload software akan dikirim melalui email atau PDF di Google Drive, dan dalam beberapa kasus, melalui Google Dokumen yang berisi link phishing. Kami telah mengidentifikasi sekitar 15.000 akun pelaku kejahatan, dan sebagian besarnya memang khusus dibuat untuk kampanye ini.

Halaman arahan dan akun media sosial untuk software palsu

Penyerang mendaftarkan beragam domain yang terkait dengan perusahaan palsu dan membuat banyak situs untuk mengirim malware. Hingga saat ini, kami telah mengidentifikasi setidaknya 1.011 domain yang dibuat hanya untuk tujuan ini. Sejumlah situs meniru situs software yang sah seperti Luminar, Cisco VPN, game di Steam, dan sejumlah situs lainnya dibuat menggunakan template online. Selama pandemi, kami juga menemukan penyerang yang menyamar sebagai penyedia berita yang menawarkan “software berita Covid 19.”

Pesan iming-iming dan halaman arahan untuk software berita palsu Covid 19

Pesan iming-iming dan halaman arahan untuk software berita palsu Covid 19

Dalam satu kasus, kami juga mengamati halaman media sosial palsu yang menyalin konten dari suatu perusahaan software sungguhan. Screenshot berikut adalah contoh halaman palsu yang URL aslinya diganti dengan URL untuk mendownload malware Cookie Theft.

Akun Instagram asli (kiri) dan palsu (kanan)

Akun Instagram asli (kiri) dan palsu (kanan)

Karena Google aktif mendeteksi dan mencegah link phishing yang dikirim melalui Gmail, kami mengamati bahwa pelaku kejahatan mengarahkan targetnya ke aplikasi perpesanan seperti WhatsApp, Telegram, atau Discord.

Mengirimkan malware Cookie Theft

Setelah target menjalankan software palsu, malware cookie theft akan dijalankan, mengambil cookie browser dari mesin perangkat korban dan menguploadnya ke server “command and control” milik pelaku. Meskipun jenis malware ini dapat dikonfigurasi untuk menggunakan mode persisten (agar malware tetap ada di perangkat korban), pelaku kejahatan biasanya menjalankan semua malware dalam mode non-persisten dengan teknik “smash-and-grab” (yakni menyerang mesin pengguna, mengambil data-datanya, lalu menghilangkan jejak dari perangkat). Teknik ini dipilih karena jika file berbahaya tidak terdeteksi saat dijalankan, hanya akan sedikit menyisakan artefak malware di host yang terinfeksi. Itulah sebabnya produk keamanan gagal memberi tahu pengguna jika telah terjadi serangan.

Kami mengamati bahwa pelaku kejahatan menggunakan berbagai jenis malware berdasarkan preferensi pribadinya, yang sebagian besar dapat diakses dengan mudah di GitHub. Beberapa malware komoditas yang digunakan antara lain RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad (diberi nama oleh Google), dan Kantal (diberi nama oleh Google) yang kodenya mirip dengan Vidar. Kami juga mengamati malware open source seperti Sorano dan AdamantiumThief. Hash terkait kami cantumkan di bagian Detail Teknis, di akhir laporan ini.

Sebagian besar malware yang diamati mampu mencuri sandi dan cookie pengguna. Beberapa sampel menerapkan sejumlah teknik anti-sandboxing termasuk pembesaran ukuran file, arsip terenkripsi, dan penyamaran IP download. Sejumlah malware yang kami amati juga dapat menampilkan pesan error palsu yang mengharuskan pengguna mengklik tombol untuk melanjutkan eksekusi program.

Pesan error palsu yang meminta pengguna mengklik tombol untuk mengeksekusi program

Pesan error palsu yang meminta pengguna mengklik tombol untuk mengeksekusi program

Scam mata uang kripto dan penjualan channel

Sejumlah besar channel yang dibajak diganti namanya untuk melakukan live streaming mata uang kripto. Nama channel, foto profil, dan semua kontennya diganti dengan merek mata uang kripto tertentu untuk meniru perusahaan teknologi atau perusahaan bursa kripto ternama. Dalam live streamingnya, pelaku kejahatan menayangkan video yang menjanjikan hadiah berupa mata uang kripto jika calon korban mau ikut dan mentransfer sejumlah uang sebagai transaksi awal.

Di marketplace yang khusus menjual akun, channel hasil pembajakan dihargai mulai US$3 sampai US$4.000 tergantung jumlah subscribernya. 

Peretas dan penyerang bayaran

Kampanye ini dilakukan oleh sejumlah penyerang dan peretas bayaran yang direkrut di forum berbahasa Rusia, seperti  ditampilkan dalam deskripsi berikut yang menampilkan dua jenis pekerjaan:

Ilustrasi tanpa text

Dari model perekrutan tersebut kita bisa melihat teknik manipulasi psikologis yang sangat disesuaikan dengan calon korbannya, serta berbagai jenis malware yang suka digunakan oleh pelaku kejahatan.

Melindungi pengguna kami dari serangan

Kami terus meningkatkan metode pendeteksian serta berinvestasi pada alat dan fitur baru yang otomatis mengenali dan menghentikan ancaman seperti ini. Beberapa peningkatan tersebut antara lain: 

  • Aturan heuristik tambahan untuk mendeteksi dan memblokir email phishing dan manipulasi psikologis, pembajakan melalui cookie theft, dan live streaming scam mata uang kripto.
  • Safe Browsing yang lebih jauh mendeteksi dan memblokir halaman arahan atau download berisi malware. 
  • YouTube juga telah memperkuat alur transfer channel, yang mendeteksi dan otomatis memulihkan 99% channel yang dibajak.
  • Keamanan akun juga telah memperkuat alur autentikasi untuk memblokir dan memberi tahu pengguna jika ada tindakan yang mungkin bersifat sensitif.
Ilustrasi tanpa text

Tindakan sensitif diblokir di sebuah akun

Pengguna juga tetap harus waspada dengan jenis ancaman ini dan mengambil tindakan yang tepat untuk lebih melindungi diri sendiri. Berikut rekomendasi kami:

  • Perhatikan peringatan Safe Browsing dengan serius. Para pelaku kejahatan biasanya akan memanipulasi psikologis pengguna agar mematikan atau mengabaikan peringatan agar program antivirus gagal mendeteksi malware.
  • Sebelum menjalankan software, lakukan pemindaian virus menggunakan antivirus atau alat pemindaian virus online seperti VirusTotal untuk memastikan keaslian dan keamanan file tersebut.
  • Aktifkan mode “Perlindungan Safe Browsing yang Ditingkatkan” di browser Chrome, sebuah fitur yang meningkatkan peringatan untuk halaman web dan file yang berpotensi mencurigakan.
  • Waspadai arsip terenkripsi yang seringkali mengakali pemindaian deteksi antivirus dan meningkatkan risiko Anda menjalankan file berbahaya.
  • Lindungi akun Anda dengan Verifikasi 2 Langkah (autentikasi multi-faktor) yang memberikan lapisan keamanan ekstra ke akun Anda jika sandi Anda dicuri. Mulai 1 November, kreator YouTube yang melakukan monetisasi wajib mengaktifkan Verifikasi 2 Langkah di Akun Google yang dipakai channel YouTube-nya untuk mengakses YouTube Studio atau Pengelola Konten YouTube Studio.

Referensi tambahan: Menghindari dan Melaporkan Email Phishing.

Detail teknis

Hash terkait malware:

RedLine (komoditas)

  • 501fe2509581d43288664f0d2825a6a47102cd614f676bf39f0f80ab2fd43f2c
  • c8b42437ffd8cfbbe568013eaaa707c212a2628232c01d809a3cf864fe24afa8

Vidar (komoditas)

  • 9afc029ac5aa525e6fdcedf1e93a64980751eeeae3cf073fcbd1d223ab5c96d6

Kantal (kode yang hampir mirip dengan Vidar)

  • F59534e6d9e0559d99d2b3a630672a514dbd105b0d6fc9447d573ebd0053caba (arsip zip)
  • Edea528804e505d202351eda0c186d7c200c854c41049d7b06d1971591142358 (sampel yang belum diekstrak)

Predator The Thief (komoditas)

  • 0d8cfa02515d504ca34273d8cfbe9d1d0f223e5d2cece00533c48a990fd8ce72 (arsip zip)

Sorano (open source)

  • c7c8466a66187f78d953c64cbbd2be916328085aa3c5e48fde6767bc9890516b

Nexus stealer (komoditas)

  • ed8b2af133b4144bef2b89dbec1526bf80cc06fe053ece1fa873f6bd1e99f0be
  • efc88a933a8baa6e7521c8d0cf78c52b0e3feb22985de3d35316a8b00c5073b3

Azorult (komoditas)

  • 8cafd480ac2a6018a4e716a4f9fd1254c4e93501a84ee1731ed7b98b67ab15dd

Raccoon (komoditas)

  • 85066962ba1e8a0a8d6989fffe38ff564a6cf6f8a07782b3fbc0dcb19d2497cb

Grand Stealer (komoditas)

  • 6359d5fa7437164b300abc69c8366f9481cb91b7558d68c9e3b0c2a535ddc243

Vikro Stealer (komoditas)

  • 04deb8d8aee87b24c7ba0db55610bb12f7d8ec1e75765650e5b2b4f933b18f6d

Masad (komoditas)

  • 6235573d8d178341dbfbead7c18a2f419808dc8c7c302ac61e4f9645d024ed85

AdamantiumThief (open source)

  • Db45bb99c44a96118bc5673a7ad65dc2a451ea70d4066715006107f65d906715

Domain Phishing Teratas:

  • pro-swapper[.]com 
  • Downloadnature[.]space
  • downloadnature[.]com
  • fast-redirect[.]host
  • bragi-studio[.]com
  • plplme[.]site
  • fenzor[.]com
  • universe-photo[.]com
  • rainway-gaming[.]com
  • awaken1337[.]xyz
  • pixelka[.]fun
  • vortex-cloudgaming[.]com
  • vontex[.]tech
  • user52406.majorcore[.]space
  • voneditor[.]tech
  • spaceditor[.]space
  • roudar[.]com
  • peoplep[.]site
  • anypon[.]online
  • zeneditor[.]tech
  • yourworld[.]site
  • playerupbo[.]xyz
  • dizzify[.]me

Referensi tambahan: Menghindari dan Melaporkan Email Phishing .
Detail teknis
Hash terkait malware:RedLine (komoditas)