Awal Tahun 2024, Hati Hati Ancaman Malware Ganas Intai Windows
JAKARTA - Awal tahun keamanan siber menjadi perhatian utama. Kabar terbaru, kelompok hacker yang menamakan diri mereka PRISMA disebut telah membuat malware ganas yang dapat digunakan masuk kembali ke akun korban meski kata sandi diubah.
Malware tersebut kabarnya dapat digunakan menghasilkan token sesi baru untuk mendapatkan kembali akses ke email korban, penyimpanan cloud, dan lainnya jika diperlukan. Korbannya adalah pengguna Windows. Peringatan itu disampaikan Ahli keamanan siber di CloudSEK.
Mereka mengatakan menemukan akar eksploitasi berada di titik akhir Google OAuth "MultiLogin" yang tidak berdokumen yang mana eksploitasinya berkisar pada pencurian token sesi korban. The Register, Rabu (3/1/2023) menjelaskan, jika malware pertama-tama menginfeksi komputer seseorang yang rentan, biasanya melalui spam berbahaya atau unduhan.
Selanjutnya, malware menjelajahi sistem komputer, antara lain, cookie sesi browser web yang dapat digunakan untuk masuk ke akun para korban. MultiLogin bertanggung jawab menyinkronkan akun Google di berbagai layanan. Dia menerima vektor ID akun dan token login autentikasi untuk mengelola sesi simultan atau beralih antar profil pengguna.
Rekayasa balik malware pencuri informasi mengungkapkan bahwa ID akun dan token login autentikasi dari akun Google yang masuk diambil dari tabel token_service WebData di Chrome. Pasangan token:GAIA ID yang dicuri kemudian dapat digunakan bersama dengan MultiLogin untuk terus membuat ulang cookie layanan Google bahkan setelah sandi disetel ulang, dan password tersebut dapat digunakan untuk masuk.
Pavan Karthick M, peneliti intelijen ancaman di CloudSEK, berpendapat bahwa penemuan ini memberikan bukti tingkat kecanggihan penjahat dunia maya yang tinggi. Dalam beberapa kasus, setiap pasangan ID token:GAIA dienkripsi oleh malware, sehingga menutupi detail mekanismenya.
“Keputusan taktis untuk mengenkripsi komponen utama eksploitasi menunjukkan langkah yang disengaja menuju ancaman siber yang lebih maju dan berorientasi siluman," ungkap Karthick. Ditambahkan, model ini menandakan adanya pergeseran dalam lanskap pengembangan malware, dimana penekanannya semakin meningkat pada penyembunyian dan perlindungan metodologi eksploitasi, serta efektivitas dari eksploitasi itu sendiri.
Sebagai informasi, malware adalah pencuri informasi yang canggih karena begitu berjalan, mereka akan bekerja mencari informasi sensitif seperti kredensial desktop jarak jauh, cookie situs web, dan dompet kripto di host lokal dan membocorkannya ke server jarak jauh yang dikendalikan hacker.
(Maruf El Rumi)
