- Pencuri info DarkCloud senilai $30 secara diam-diam mengumpulkan kredensial di seluruh browser dan perangkat lunak perusahaan
- Kode Visual Basic lama secara tidak terduga membantu malware menghindari beberapa alat deteksi modern
- Alat pencuri kredensial yang murah semakin mendorong kompromi jaringan perusahaan pada tahap awal
Alat malware berbiaya rendah semakin banyak tersedia di web gelap, menawarkan kemampuan pencurian kredensial bagi individu dengan pengetahuan teknis terbatas.
Peneliti keamanan di Titik nyala baru-baru ini menganalisis jenis malware yang dikenal sebagai DarkCloud, yang telah beredar melalui saluran Telegram dan etalase publik sejak sekitar tahun 2022.
Tersedia dengan harga sekitar $30, lebih murah dari harga kebanyakan game konsol, alat ini melakukan pengambilan kredensial dalam skala besar, dengan informasi yang dicuri mungkin termasuk login browser, cookie, data keuangan, dan informasi kontak dari aplikasi email.
Artikel berlanjut di bawah
Pencuri informasi yang murah mengurangi hambatan terhadap kejahatan dunia maya
DarkCloud mengiklankan dirinya sebagai perangkat lunak pengawasan di daftar publik, meskipun fungsi internalnya berfokus pada penggalian kredensial dan data sensitif dari mesin yang terinfeksi.
Para peneliti mengatakan jenis pencuri informasi ini sering menjadi titik masuk ke dalam jaringan perusahaan, di mana kredensial yang disusupi sering kali menyebabkan intrusi jaringan yang lebih dalam.
Salah satu aspek yang tidak biasa dari DarkCloud adalah penggunaan lingkungan pemrograman Visual Basic 6.0 yang ketinggalan jaman, karena muatan malware ditulis dalam bahasa lama ini sebelum dikompilasi ke dalam executable asli.
Visual Basic 6.0 bergantung pada komponen runtime lama yang masih berfungsi pada sistem Windows modern – dan menurut analis Flashpoint, pilihan desain ini dapat mengurangi tingkat deteksi pada beberapa alat keamanan karena banyak sistem deteksi fokus pada kerangka pengembangan yang lebih modern.
Malware ini juga menggunakan enkripsi dan kebingungan string berlapis-lapis, sehingga mempersulit rekayasa balik dan analisis statis.
String internal tetap terenkripsi hingga waktu proses, saat generator pseudo-acak merekonstruksinya melalui proses deterministik.
Teknik-teknik ini tidak bergantung pada kriptografi baru, melainkan mengeksploitasi perilaku yang dapat diprediksi dalam lingkungan pemrograman lama.
DarkCloud berkonsentrasi pada pengumpulan kredensial dan data aplikasi dari berbagai perangkat lunak, mengekstraksi informasi dari browser web, klien email, program transfer file, dan beberapa alat komunikasi.
Data yang dikumpulkan disimpan secara lokal di dalam direktori yang dibuat di bawah jalur templat Windows.
Satu direktori menyimpan file database yang disalin, sementara direktori lain berisi informasi yang diuraikan yang ditulis dalam format teks tidak terenkripsi.
Sistem pementasan ini memungkinkan malware mengumpulkan log terstruktur sebelum mengirimkannya secara eksternal.
Alat ini mendukung beberapa metode untuk mengirimkan informasi yang dicuri.
Ini termasuk transmisi email melalui SMTP, transfer file menggunakan server FTP, komunikasi melalui saluran Telegram, dan unggahan HTTP langsung.
Karena kredensial yang disusupi sering kali memungkinkan pergerakan lateral di dalam jaringan, penyerang nantinya dapat menyebarkan ransomware, meluncurkan operasi phishing, atau mempertahankan akses yang persisten.
Bahkan dasar perlindungan titik akhir atau dikonfigurasi dengan benar firewall mungkin kesulitan mendeteksi aktivitas jika malware menggunakan protokol yang sah.
Oleh karena itu, tim keamanan sering kali mengandalkan kontrol berlapis, termasuk pemantauan kredensial dan prosedur respons insiden penghapusan malware peralatan.
Berlanjutnya peredaran infostealer berbiaya rendah menunjukkan bahwa biaya masuk yang rendah, dibandingkan kecanggihan teknis, semakin mendorong kompromi jaringan pada tahap awal.
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
