Analisis terhadap hampir 20 juta log malware pencuri informasi yang dijual di web gelap dan saluran Telegram mengungkapkan bahwa mereka telah mencapai infiltrasi yang signifikan ke dalam lingkungan bisnis.
Pencuri informasi adalah malware yang mencuri data yang disimpan dalam aplikasi seperti browser web, klien email, pengirim pesan instan, dompet cryptocurrency, klien FTP, dan layanan game. Informasi yang dicuri dikemas ke dalam arsip yang disebut ‘log’, yang kemudian diunggah kembali ke pelaku ancaman untuk digunakan dalam serangan atau dijual di pasar kejahatan dunia maya.
Keluarga pencuri informasi yang paling menonjol adalah Redline, Raccoon, Titan, Aurora, dan Vidar, yang ditawarkan kepada penjahat dunia maya dengan model berbasis langganan, memungkinkan mereka melakukan kampanye malware yang mencuri data dari perangkat yang terinfeksi.
Sementara pencuri informasi terutama menargetkan pengguna internet yang ceroboh yang mengunduh perangkat lunak, seperti crack, warez, cheat game, dan perangkat lunak palsu dari sumber yang meragukan, hal itu juga diketahui berdampak besar pada lingkungan perusahaan.
Ini karena karyawan menggunakan perangkat pribadi untuk bekerja atau mengakses barang-barang pribadi dari komputer kerja, yang mengakibatkan banyak infeksi pencuri informasi yang mencuri kredensial bisnis dan cookie autentikasi.
Lebih khusus lagi, seperti yang dijelaskan perusahaan keamanan siber Flare dalam a laporan baru dibagikan dengan BleepingComputer, ada sekitar 375.000 log yang berisi akses ke aplikasi bisnis seperti Salesforce, Hubspot, Quickbooks, AWS, GCP, Okta, dan DocuSign.
Lebih khusus lagi, Flare menemukan yang berikut ini di log pencuri yang diperiksa:
- 179.000 kredensial Konsol AWS
- 2.300 kredensial Google Cloud
- 64.500 kredensial DocuSign
- 15.500 kredensial QuickBooks
- 23.000 kredensial Salesforce
- 66.000 kredensial CRM
Selain yang disebutkan di atas, ada sekitar 48.000 log yang menyertakan akses ke “okta.com”, layanan manajemen identitas tingkat perusahaan yang digunakan oleh organisasi untuk autentikasi pengguna cloud dan lokal.
Sebagian besar log ini (74%) diposting di saluran Telegram, sementara 25% terlihat di pasar berbahasa Rusia, seperti ‘Pasar Rusia.’
“Log berisi akses korporat terlalu terwakili di Pasar Rusia dan saluran Telegram VIP, menunjukkan bahwa metode yang digunakan penyerang untuk memanen log mungkin secara kebetulan atau sengaja memiliki lebih banyak penargetan korporat,” jelas laporan Flare.
“Selain itu, saluran Telegram publik mungkin dengan sengaja memposting log bernilai rendah, menyimpan log bernilai tinggi untuk pelanggan yang membayar.”
Flare juga menemukan lebih dari 200.000 log pencuri yang berisi kredensial OpenAI, dua kali lipat jumlah itu Grup-IB melaporkan baru-baru ini dan merupakan risiko untuk membocorkan informasi hak milik, strategi bisnis internal, kode sumber, dan banyak lagi.
Kredensial perusahaan dianggap sebagai log “tingkat-1”, menjadikannya sangat bernilai tinggi dalam kejahatan dunia maya bawah tanah, di mana kredensial tersebut dijual di saluran atau forum Telegram pribadi seperti Exploit dan XSS.
Nilai tersebut berasal dari potensi keuntungan yang dapat diperoleh penjahat dunia maya dengan memanfaatkan kredensial yang telah disusupi untuk mengakses aplikasi CRM, RDP, VPN, dan SaaS, lalu menggunakan akses tersebut untuk menyebarkan backdoor tersembunyi, ransomware, dan muatan lainnya.
“Berdasarkan bukti dari forum web gelap Exploit in, kami menilai sangat mungkin bahwa pialang akses awal menggunakan log pencuri sebagai sumber utama untuk mendapatkan pijakan awal ke lingkungan perusahaan yang kemudian dapat dilelang di forum web gelap papan atas,” jelas peneliti Flare Eric Clay.
Disarankan agar bisnis meminimalkan risiko infeksi malware pencuri info dengan memaksakan penggunaan pengelola kata sandi, menerapkan autentikasi multi-faktor, dan mengatur kontrol ketat pada penggunaan perangkat pribadi.
Selain itu, karyawan harus dilatih untuk mengidentifikasi dan menghindari saluran infeksi umum seperti Google Ads berbahaya, video YouTube, dan postingan Facebook.
