Peneliti keamanan telah melihat pencuri informasi baru yang mengumpulkan data login Chrome dari korban yang terinfeksi, bersama dengan cookie sesi, dan tampaknya mencari rincian Facebook khususnya, menurut peringatan ancaman Radware.
Malware Stresspaint, telah ditemukan tersembunyi di dalam aplikasi Windows gratis bernama “Relieve Stress Paint,” yang didistribusikan melalui аоӏ[.]net – domain yang menggunakan karakter Unicode, yang bila dikonversi ke Punycode menjadi xn--80a2a18a[.]net, bukannya aol[.]net.
Radware yakin para penjahat menggunakan email dan spam Facebook untuk mengarahkan pengguna ke situs web yang menyesatkan ini.
Pengguna yang mengunduh aplikasi ini mendapatkan alat menggambar yang sah, tetapi aplikasi ini juga menjalankan file lain di latar belakang. Menurut peneliti Radware, aplikasi menggambar ini juga menjalankan:
- Temp\\DX.exe – modul utama Stresspaint yang tetap ada di sistem
- Temp\\updata.dll – mungkin digunakan nanti untuk tujuan pencurian kredensial/cookie
Malware kemudian menetapkan kunci registri Windows berikut untuk mendapatkan persistensi boot dan menjalankan file DX.exe Stresspaint pada setiap boot PC:
HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\UpdataMenurut tim Radware, value kunci registri ini adalah DX.exe [parameter].
“Kami telah melihat dua parameter berbeda yang dapat mengindikasikan dua kampanye infeksi berbeda yang ingin dilacak oleh pembuat,” kata tim Radware. “Ini juga diwakilkan di panel kontrol [Stresspaing].”
Stresspaint juga menciptakan kunci registri lain. Yang satu ini menahan setiap GUID korban yang terinfeksi dalam bentuk “[5 huruf/angka acak]HHMMSSYYYYMMDD”.
HKCU\Software\Classes\VirtualStore\MACHINE\SOFTWARE\RelieveStressPaint\guidStresspaint mencuri data login di Chrome dan cookie sesi
Malware Stresspaint kemudian membuat salinan data login di Chrome dan basis data cookie, yang disimpan di lokasi berikut:
- AppData\Local\Google\Chrome\User Data\Default\Login Data11111
- AppData\Local\Google\Chrome\User Data\Default\Cookies11111
Malware membuat salinan file-file ini sehingga dapat menjalankan semua pertanyaan dan operasi yang diperlukan untuk mengekstrak kredensial login dan file cookie yang disimpan di browser Chrome pengguna.
Penjahat mengakses akun Facebook untuk memanen data
Malware kemudian mengambil data login yang dikumpulkan dan cookie sesi, mengenkripsinya, dan mengunggahnya ke panel C&C, bersama dengan GUID pengguna.
Peneliti Radware melacak data ini ke panel kontrol yang tersedia dalam bahasa Mandarin. Panel kontrol memiliki bagian khusus untuk menampilkan kredensial Facebook, dan satu lagi untuk data Amazon. Bagian terakhir ini kosong, menunjukkan penyerang belum fokus pada penggalian rincian Amazon dari data yang dicuri.
Para peneliti mengatakan penjahat secara aktif memvalidasi kredensial Facebook dan cookie sesi dengan masuk ke akun dan mengumpulkan data tambahan seperti setiap jumlah teman pengguna, apakah akun mengelola Halaman Facebook atau tidak, dan jika akun tersebut memiliki metode pembayaran yang disimpan dalam pengaturannya.
Stresspaint menginfeksi lebih dari 35.000 pengguna
Radware mengatakan mengidentifikasi lebih dari 35.000 pengguna yang terinfeksi, sebagian besar berbasis di Vietnam, Rusia, Pakistan, dan Indonesia. Aplikasi untuk menggambar yang mengandung malware ini pertama kali terlihat pada awal bulan, tetapi penjahat memulai distribusi massalnya hanya selama akhir pekan.
Sementara malware saat ini cukup terdeteksi pada layanan pemindaian virus agregat seperti VirusTotal, Stresspaint awalnya terbang di bawah radar beberapa perangkat lunak keamanan karena membuat salinan basis data login dan cookie Chrome dan membuat salinannya daripada mencoba mengakses file asli, biasanya dijaga ketat oleh sebagian besar perangkat lunak keamanan.
Para peneliti telah memberi tahu Facebook tentang operasi pengumpulan kredensial dari malware dan juga menghubungi pencatat domain tempat domain berbahaya terdaftar, meminta agar domain terkait dihapus.
Peringatan ancaman malware ini dari Radware bisa kamu akses di: https://security.radware.com/malware/stresspaint-malware-targeting-facebook-credentials/
