Peretas Vietnam Melakukan Pencurian Data Keuangan, Indonesia Jadi Target!

Sumber: www.freepik.com

Pencurian data keuangan, data breaches, dan data leakage menjadi masalah serius yang dihadapi oleh banyak negara di Asia. Salah satu kelompok peretas yang disorot adalah kelompok yang berasal dari Vietnam. Kelompok ini telah diobservasi Cisco Talos dan diketahui menyasar korban di beberapa negara Asia dan Asia Tenggara dengan malware yang dirancang untuk mengumpulkan data berharga sejak Mei 2023.

Aktivitas Pencurian Data Keuangan oleh Kelompok Peretas CoralRaider

Cisco Talos melacak kelompok tersebut dengan nama CoralRaider. Menurut para peneliti keamanan, Chetan Raghuprasad dan Joey Chen, kelompok ini termotivasi secara finansial. Kelompok ini berfokus pada pencurian kredensial korban, data keuangan, dan akun media sosial, termasuk akun bisnis dan iklan.

Perlu Anda ketahui bahwa Indonesia menjadi salah satu negara target operasi serangan siber kelompok ini. Selain itu, negara-negara lain yang menjadi target adalah India, Cina, Korea Selatan, Bangladesh, Pakistan, dan Vietnam.

Malware yang digunakan oleh kelompok ini antara lain RotBot, yang merupakan varian khusus dari Quasar RAT, dan XClient stealer. Selain itu, mereka juga menggunakan malware umum lainnya seperti AsyncRAT, NetSupport RAT, dan Rhadamanthys.

Baca Juga: Kasus Kebocoran Data di Indonesia Masih Marak, Perusahaan Wajib Taati UU PDP!

Pencurian Akun Bisnis dan Iklan

Salah satu fokus utama kelompok peretas yang berbasis di Vietnam ini adalah pada pencurian akun bisnis dan iklan. Mereka menggunakan berbagai malware stealer seperti Ducktail, NodeStealer, dan VietCredCare untuk mengambil alih kendali atas akun-akun tersebut untuk mendapatkan keuntungan finansial lebih lanjut.

Modus operandi mereka melibatkan penggunaan Telegram untuk mengekstrak informasi yang dicuri dari komputer korban. Informasi yang dicuri tersebut kemudian diperdagangkan di pasar gelap untuk menghasilkan pendapatan ilegal.

Para peneliti mengungkapkan bahwa operator CoralRaider diduga berbasis di Vietnam. Hal ini didasarkan pada pesan-pesan aktor dalam saluran bot Telegram C2 mereka dan preferensi bahasa dalam penamaan bot, string PDB, serta kata-kata bahasa Vietnam lainnya yang disematkan dalam binary payload mereka.

Baca Juga: Server PDN Down Akibat Ransomware, Tuntut Tebusan Rp 131 Miliar!

Modus Operandi Serangan

Rantai serangan dimulai dengan file pintasan Windows (LNK), meskipun saat ini belum ada penjelasan yang jelas tentang bagaimana file-file ini didistribusikan kepada target.

Jika file LNK dibuka, maka file aplikasi HTML (HTA) akan diunduh dan dijalankan dari server unduhan yang dikendalikan peretas, yang kemudian akan menjalankan skrip Visual Basic yang tertanam.

Skrip ini, pada gilirannya, akan mendeskripsi dan menjalankan secara berurutan tiga script PowerShell lainnya yang bertanggung jawab untuk melakukan pemeriksaan anti-VM dan anti-analisis, mengatasi Kontrol Akses Pengguna Windows (UAC), menonaktifkan pemberitahuan Windows dan aplikasi, serta mengunduh dan menjalankan RotBot.

RotBot dikonfigurasi untuk menghubungi bot Telegram dan mengambil malware XClient stealer serta menjalankannya dalam memori, yang pada akhirnya memfasilitasi pencurian cookie, kredensial, dan informasi keuangan dari browser web seperti Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox, dan Opera; data Discord dan Telegram; serta tangkapan layar.

XClient juga dirancang untuk mengambil data dari akun Facebook, Instagram, TikTok, dan YouTube korban, mengumpulkan detail tentang metode pembayaran dan izin yang terkait dengan akun bisnis dan iklan Facebook mereka.

“RotBot adalah varian klien Quasar RAT yang telah disesuaikan dan dikompilasi ulang oleh aktor ancaman untuk kampanye ini,” kata para peneliti. “[XClient] memiliki kemampuan pencurian informasi yang luas melalui modul plugin dan berbagai modul untuk melakukan tugas administratif jarak jauh.”

Baca Juga: Undang-Undang Pelindungan Data Pribadi (UU PDP): Ringkasan & Sanksinya

Kampanye Malvertising di Facebook

Selain itu, Bitdefender juga mengungkapkan detail tentang kampanye malvertising di Facebook yang memanfaatkan popularitas alat AI generatif untuk menyebarkan berbagai jenis malware pencuri informasi. Contohnya seperti Rilide, Vidar, IceRAT, dan pendatang baru yang dikenal sebagai Nova Stealer.

Titik awal serangan adalah aktor ancaman mengambil alih akun Facebook yang sudah ada, kemudian mengubah penampilannya untuk meniru alat kecerdasan buatan terkenal dari Google, OpenAI, dan Midjourney.Setelah itu, mereka memperluas jangkauan serangan dengan menjalankan iklan sponsor di platform tersebut.

Salah satu halaman palsu yang menyamar sebagai Midjourney memiliki 1,2 juta pengikut sebelum dihapus pada 8 Maret 2023.Pelaku ancaman (threat actors) yang mengelola halaman palsu tersebut berasal dari berbagai negara, termasuk Vietnam, Amerika Serikat, Indonesia, Inggris, dan Australia.

“Kampanye malvertising memiliki jangkauan yang luas melalui sistem iklan sponsor Meta dan secara aktif menargetkan pengguna Eropa dari Jerman, Polandia, Italia, Prancis, Belgia, Spanyol, Belanda, Rumania, Swedia, dan lainnya,” ujar perusahaan keamanan siber asal Rumania tersebut.

Ancaman pencurian data keuangan, data breaches, dan data leakage yang dilakukan oleh kelompok peretas dari Vietnam menjadi perhatian serius bagi banyak negara di Asia. Diperlukan kolaborasi dan upaya yang lebih kuat dari berbagai pihak terkait untuk mencegah dan mengatasi serangan-serangan semacam ini di masa depan.

Link referensi: thehackernews.com

Solusi Keamanan Siber di Indonesia

LOGIQUE menyediakan jasa keamanan siber di Indonesia. Kami menawarkan beberapa solusi komprehensif untuk membantu perusahaan menghadapi tantangan keamanan digital. Salah satu layanan utama yang kami sediakan adalah jasa pentest atau penetration testing. Melalui pentest, kami mengidentifikasi titik-titik kelemahan dalam sistem dan infrastruktur teknologi informasi di perusahaan Anda. Tim ahli LOGIQUE akan melakukan penyerangan yang terkontrol dan aman untuk menguji kemampuan sistem dalam menangkal serangan cyber. Hal ini memungkinkan perusahaan Anda untuk mengetahui area yang perlu diperkuat dan memprioritaskan langkah-langkah perbaikan.

Selain itu, LOGIQUE juga menawarkan layanan vulnerability assessment. Tim kami akan melakukan analisis menyeluruh terhadap kerentanan yang ada dalam sistem, aplikasi, dan jaringan klien. Hasil analisis ini kemudian akan dirangkum dalam laporan yang memberikan rekomendasi perbaikan untuk mengatasi kelemahan-kelemahan tersebut.

Tak hanya itu, LOGIQUE juga menyediakan jasa simulasi phishing sebagai bagian dari solusi keamanan siber mereka. Melalui simulasi ini, perusahaan dapat menguji sejauh mana karyawan Anda tanggap terhadap ancaman phishing dan mengetahui area yang perlu ditingkatkan dalam program kesadaran keamanan.

Dengan beragam layanan yang ditawarkan, LOGIQUE membantu perusahaan di Indonesia membangun pertahanan yang tangguh terhadap ancaman siber, meningkatkan kesadaran keamanan karyawan, serta memperkuat keseluruhan postur keamanan digital mereka. Hubungi kami segera untuk penjelasan lebih lanjut. Kami akan selalu siap membantu meningkatkan sistem keamanan siber di perusahaan Anda.