March 31, 2023


Pencurian data

Kampanye malware yang sedang berlangsung menargetkan pengguna YouTube dan Facebook, menginfeksi komputer mereka dengan pencuri informasi baru yang akan membajak akun media sosial mereka dan menggunakan perangkat mereka untuk menambang cryptocurrency.

Peneliti keamanan dengan tim Advanced Threat Control (ATC) Bitdefender menemukan malware baru dan menamakannya S1deload Stealer karena penggunaannya yang ekstensif sideload DLL untuk menghindari deteksi.

“Antara Juli dan Desember 2022, produk Bitdefender mendeteksi lebih dari 600 pengguna unik yang terinfeksi malware ini,” peneliti Bitdefender Dávid Ács dikatakan.

Korban ditipu untuk menginfeksi dirinya sendiri menggunakan rekayasa sosial dan komentar di halaman Facebook yang mendorong arsip dengan tema dewasa (misalnya, AlbumGirlSexy.zip, HDSexyGirl.zip, SexyGirlAlbum.zip, dan lainnya).

Jika pengguna mengunduh salah satu arsip tertaut, mereka malah akan mendapatkan tanda tangan yang dapat dieksekusi dengan tanda tangan digital Western Digital yang valid dan DLL berbahaya (WDSync.dll) yang berisi muatan akhir.

Umpan Pencuri S1deload
S1deload Stealer memikat konten arsip (Bitdefender)

Setelah dipasang di perangkat korban, S1deload Stealer dapat diinstruksikan oleh operatornya untuk melakukan salah satu dari beberapa tugas setelah tersambung ke server perintah-dan-kontrol (C2).

Seperti yang ditemukan Bitdefender, itu dapat mengunduh dan menjalankan komponen tambahan, termasuk browser web Chrome tanpa kepala yang berjalan di latar belakang dan meniru perilaku manusia untuk secara artifisial meningkatkan jumlah penayangan di video YouTube dan posting Facebook.

Pada sistem lain, itu juga dapat menyebarkan pencuri yang mendekripsi dan mengekstraksi kredensial dan cookie yang disimpan dari browser korban dan database Login Data SQLite atau cryptojacker yang akan menambang cryptocurrency BEAM.

Jika berhasil mencuri akun Facebook, malware juga akan berusaha memperkirakan nilai sebenarnya dengan memanfaatkan Facebook Graph API untuk mengetahui apakah korban adalah admin halaman atau grup Facebook, apakah membayar untuk iklan, atau ditautkan. ke akun manajer bisnis.

“Komponen pencuri yang kami amati di alam liar mencuri kredensial yang disimpan dari browser korban, mengekstraknya ke server pembuat malware,” tambah Ács.

“Penulis malware menggunakan kredensial yang baru diperoleh untuk melakukan spam di media sosial dan menginfeksi lebih banyak mesin, menciptakan umpan balik.”

Propagasi Facebook S1deload Stealer
Propagasi Facebook S1deload Stealer (Bitdefender)

​Untuk menghindari infeksi dan akun media sosial Anda dibajak, Anda tidak boleh menjalankan executable dari sumber yang tidak dikenal dan selalu perbarui perangkat lunak anti-malware Anda.

Indikator kompromi (IOC) dan aturan YARA yang terkait dengan kampanye malware ini tersedia di bagian akhir whitepaper Bitdefender (PDF).

Leave a Reply

Your email address will not be published. Required fields are marked *