Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Berbagai macam router sedang diserang oleh malware baru yang luar biasa canggih

by

Sebuah kelompok peretas yang luar biasa canggih telah menghabiskan hampir dua tahun menginfeksi berbagai router di Amerika Utara dan Eropa dengan malware yang mengambil kendali penuh dari perangkat terhubung yang menjalankan Windows, macOS, dan Linux, para peneliti melaporkan pada hari Selasa.

Peneliti dari Black Lotus Labs Lumen Technologies mengatakan mereka telah mengidentifikasi setidaknya 80 target yang terinfeksi oleh malware tersembunyi, menginfeksi router yang dibuat oleh Cisco, Netgear, Asus, dan DrayTek. Dijuluki ZuoRAT, Trojan akses jarak jauh adalah bagian dari kampanye peretasan yang lebih luas yang telah ada setidaknya sejak kuartal keempat tahun 2020 dan terus beroperasi.

Penemuan malware yang dibuat khusus yang ditulis untuk arsitektur MIPS dan dikompilasi untuk router kantor kecil dan kantor rumahan adalah signifikan, terutama mengingat jangkauan kemampuannya.

Kemampuannya untuk menghitung semua perangkat yang terhubung ke router yang terinfeksi dan mengumpulkan pencarian DNS dan lalu lintas jaringan yang mereka kirim dan terima dan tetap tidak terdeteksi adalah ciri dari aktor ancaman yang sangat canggih.

Kampanye ini terdiri dari setidaknya empat bagian malware, tiga di antaranya ditulis dari awal oleh aktor ancaman. Bagian pertama adalah ZuoRAT berbasis MIPS, yang sangat mirip dengan malware Mirai Internet of Things yang mencapai serangan penolakan layanan terdistribusi yang memecahkan rekor yang melumpuhkan beberapa layanan Internet selama berhari-hari. ZuoRAT sering terinstal dengan mengeksploitasi kerentanan yang belum ditambal di perangkat SOHO.

Setelah diinstal, ZuoRAT menghitung perangkat yang terhubung ke router yang terinfeksi. Pelaku ancaman kemudian dapat menggunakan pembajakan DNS dan pembajakan HTTP untuk menyebabkan perangkat yang terhubung menginstal malware lain.

Dua dari malware tersebut—dijuluki CBeacon dan GoBeacon—dibuat khusus, dengan yang pertama ditulis untuk Windows dalam C++ dan yang terakhir ditulis dalam Go untuk kompilasi silang di perangkat Linux dan macOS. Untuk fleksibilitas, ZuoRAT juga dapat menginfeksi perangkat yang terhubung dengan alat peretas Cobalt Strike yang banyak digunakan.

ZuoRAT dapat memutar infeksi ke perangkat yang terhubung menggunakan salah satu dari dua metode:

  • Pembajakan DNS, yang menggantikan alamat IP yang valid terkait dengan domain seperti Google atau Facebook dengan yang berbahaya yang dioperasikan oleh penyerang.
  • Pembajakan HTTP, di mana malware memasukkan dirinya ke dalam koneksi untuk menghasilkan kesalahan 302 yang mengarahkan pengguna ke alamat IP yang berbeda.

Black Lotus Labs mengatakan infrastruktur komando dan kontrol yang digunakan dalam kampanye sengaja dibuat rumit dalam upaya untuk menyembunyikan apa yang terjadi. Satu set infrastruktur digunakan untuk mengontrol router yang terinfeksi, dan infrastruktur lainnya dicadangkan untuk perangkat yang terhubung jika kemudian terinfeksi.

Para peneliti mengamati router dari 23 alamat IP dengan koneksi terus-menerus ke server kontrol yang mereka yakini sedang melakukan survei awal untuk menentukan apakah target menarik.

Penemuan kampanye yang sedang berlangsung ini adalah yang paling penting yang mempengaruhi router SOHO sejak VPNFilter, malware router yang dibuat dan disebarkan oleh pemerintah Rusia yang ditemukan pada tahun 2018. Router sering diabaikan, terutama di era bekerja dari rumah. Sementara organisasi sering memiliki persyaratan ketat untuk perangkat apa yang diizinkan untuk terhubung, hanya sedikit patch mandat atau perlindungan lain untuk router perangkat.

Seperti kebanyakan malware router, ZuoRAT tidak dapat bertahan dari reboot. Cukup restart perangkat yang terinfeksi akan menghapus eksploitasi ZuoRAT awal, yang terdiri dari file yang disimpan dalam direktori sementara. Namun, untuk pulih sepenuhnya, perangkat yang terinfeksi harus direset ke setelan pabrik.

Selengkapnya: Arstechnica

Peringatan Microsoft: Malware yang menargetkan Linux ini baru saja mendapat pembaruan besar

by

Microsoft mengatakan telah melihat “pembaruan penting” untuk malware yang menargetkan server Linux untuk menginstal malware cryptominer.

Microsoft telah memanggil pekerjaan baru-baru ini dari apa yang disebut kelompok “8220 gang”, yang baru-baru ini terlihat mengeksploitasi bug kritis yang memengaruhi Server dan Pusat Data Atlassian Confluence, yang dilacak sebagai CVE-2022-26134.

Atlassian mengungkapkan bug pada 2 Juni dan dalam seminggu, perusahaan keamanan Check Point menemukan bahwa 8220 geng menggunakan kelemahan Atlassian untuk menginstal malware pada sistem Linux. Kelompok ini juga menargetkan sistem Windows menggunakan cacat Atlassian untuk menyuntikkan skrip ke dalam proses memori PowerShell.

CISA telah memperingatkan agen federal untuk menambalnya pada 6 Juni dan sampai saat itu memblokir semua akses internet ke produk tersebut.

Geng 8220 telah aktif sejak 2017, menurut kelompok Intelijen Talos Cisco, yang menggambarkannya sebagai aktor ancaman penambangan Monero berbahasa Cina yang C2-nya sering berkomunikasi melalui port 8220, sehingga mendapatkan namanya. Pada tahap itu mereka menargetkan kerentanan gambar Apache Struts2 dan Docker untuk menyusup ke server perusahaan.

Menurut Microsoft, setelah geng 8220 memperoleh akses awal melalui CVE-2022-26134, ia mengunduh loader ke sistem yang mengubah konfigurasinya untuk menonaktifkan layanan keamanan, mengunduh cryptominer, menetapkan kegigihan pada jaringan, dan kemudian memindai port pada jaringan untuk menemukan server lain.

Microsoft memperingatkan admin untuk mengaktifkan pengaturan perlindungan tamper Defender for Endpoint karena loader menghapus file log dan menonaktifkan pemantauan cloud dan alat keamanan.

Loader mengunduh pwnRig cryptominer (v1.41.9) dan bot IRC menjalankan perintah dari server C2. Itu bertahan dari reboot dengan membuat tugas penjadwalan melalui cronjob atau skrip yang berjalan setiap 60 detik sebagai perintah nohup atau “no hangup”.

Loader menggunakan alat pemindai port IP “masscan” untuk menemukan server SSH lain di jaringan, dan kemudian menggunakan alat brute force SSH berbasis GoLang “spirit” untuk menyebar. Ini juga memindai disk lokal untuk mencari kunci SSH untuk bergerak secara lateral dengan menghubungkan ke host yang dikenal,” Microsoft menjelaskan.

Sumber: ZDnet

Google memblokir lusinan domain yang digunakan oleh grup hack-for-hire

by

Grup Analisis Ancaman (TAG) Google telah memblokir lusinan domain dan situs web berbahaya yang digunakan oleh grup peretasan dalam serangan yang menargetkan target berisiko tinggi di seluruh dunia.

Tidak seperti vendor pengawasan komersial yang alatnya digunakan dalam serangan oleh klien, operator hack-for-hire terlibat langsung dalam serangan dan biasanya dipekerjakan oleh perusahaan yang menawarkan layanan tersebut. Dalam beberapa kasus, mereka juga bisa menjadi aktor ancaman “bebas”.

Mereka dipekerjakan karena keterampilan meretas mereka oleh klien yang tidak memilikinya atau yang ingin menyembunyikan identitas mereka jika serangan terdeteksi dan diselidiki.

Kelompok hack-for-hire menargetkan individu dan organisasi dalam pencurian data dan kampanye spionase perusahaan, dengan korban masa lalu termasuk politisi, jurnalis, aktivis hak asasi manusia dan politik, dan berbagai pengguna berisiko tinggi lainnya dari seluruh dunia.

Saat ini, Google TAG melacak beberapa perusahaan hack-for-hire dari beberapa negara dan kampanye mereka, termasuk India, Rusia, dan Uni Emirat Arab.

Misalnya, satu kelompok mata-mata sewaan dari India yang terkait dengan penyedia keamanan ofensif Appin dan Belltrox dan dilacak selama dekade terakhir telah mengatur kampanye phishing kredensial terhadap organisasi di sektor pemerintah, perawatan kesehatan, dan telekomunikasi di Arab Saudi, Uni Emirat Arab (UEA). ), dan Bahrain.

Reuters juga melaporkan hari ini bahwa tentara bayaran dunia maya India juga telah mencoba meretas “setidaknya 75 perusahaan AS dan Eropa, tiga lusin kelompok advokasi dan media dan banyak eksekutif bisnis Barat,” serta ke kotak masuk email milik pengacara target, ” sekitar 1.000 pengacara di 108 firma hukum yang berbeda.”

Aktor ancaman hack-for-hire lainnya dari Rusia (dikenal sebagai Void Balaur) dikaitkan dengan serangan phishing kredensial terhadap jurnalis, politisi, dan berbagai LSM dan organisasi nirlaba di seluruh Eropa (termasuk Rusia).

Daftar harga Void Balaur (Google TAG)

Last but not least, kelompok hack-for-hire berbasis di UEA yang terkait dengan pengembang H-Worm dan yang aktivitasnya juga terlihat oleh Amnesty International, terutama memfokuskan serangannya pada pemerintah, pendidikan, dan organisasi politik di Timur Tengah dan Utara. Afrika.

Huntley juga membagikan daftar lengkap domain berbahaya yang diblokir oleh Google saat menyelidiki aktivitas kelompok peretasan dari India, Rusia, dan UEA.

Tim pakar keamanan Google TAG juga melacak daftar panjang pelaku ancaman yang didukung negara dan bermotivasi finansial, termasuk lusinan vendor pengawasan yang menjual spyware mereka kepada pemerintah di seluruh dunia.

“TAG secara aktif melacak lebih dari 30 vendor dengan berbagai tingkat kecanggihan dan eksposur publik yang menjual eksploitasi atau kemampuan pengawasan kepada aktor yang didukung pemerintah,” kata anggota Google TAG Clement Lecigne dan Christian Resell baru-baru ini.

Sumber: Bleeping Computer

CISA memperingatkan peretas yang mengeksploitasi kerentanan PwnKit Linux

by

Cybersecurity and Infrastructure Security Agency (CISA) telah menambahkan kerentanan Linux dengan tingkat keparahan tinggi yang dikenal sebagai PwnKit ke daftar bug yang dieksploitasi di alam liar.

Kelemahan keamanan, yang diidentifikasi sebagai CVE-2021-4034, ditemukan di komponen pkexec Polkit yang digunakan oleh semua distribusi utama (termasuk Ubuntu, Debian, Fedora, dan CentOS).

PwnKit adalah bug kerusakan memori yang dapat dimanfaatkan oleh pengguna yang tidak memiliki hak istimewa untuk mendapatkan hak akses root penuh pada sistem Linux dengan konfigurasi default.

Peneliti di keamanan informasi Qualys yang menemukannya juga menemukan bahwa asalnya kembali ke komitmen awal pkexec, yang berarti memengaruhi semua versi Polkit. Itu juga telah bersembunyi di depan mata selama lebih dari 12 tahun sejak rilis pertama pkexec pada Mei 2009.

Kode eksploitasi proof-of-concept (PoC) yang andal telah dibagikan secara online kurang dari tiga jam setelah Qualys menerbitkan detail teknis untuk PwnKit.

Qualys mendesak admin Linux untuk mempercepat pengamanan server yang rentan menggunakan patch yang dirilis oleh tim pengembangan Polkit di repositori GitLab mereka.

Ini bahkan lebih mendesak karena, menurut nasihat Qualys, eksploitasi bug eskalasi hak istimewa PwnKit dimungkinkan tanpa meninggalkan jejak pada sistem yang disusupi.

Badan keamanan siber AS juga memberi semua lembaga Federal Civilian Executive Branch Agencies (FCEB) tiga minggu, hingga 18 Juli, untuk menambal server Linux mereka terhadap PwnKit dan memblokir upaya eksploitasi.

Menurut arahan operasional yang mengikat (BOD 22-01) yang dikeluarkan oleh CISA pada bulan November untuk mengurangi risiko bug yang diketahui dieksploitasi di seluruh jaringan federal AS, lembaga FCEB harus mengamankan sistem mereka dari bug yang ditambahkan ke Katalog Kerentanan yang Diketahui Tereksploitasi (KEV).

Meskipun arahan ini hanya berlaku untuk agen federal, CISA juga sangat mendesak semua organisasi AS dari sektor swasta dan publik untuk memprioritaskan perbaikan bug ini.

Mengikuti saran agensi harus mengurangi serangan yang dapat ditargetkan oleh aktor ancaman dalam serangan yang dirancang untuk membahayakan server yang belum ditambal dan menembus jaringan yang rentan.

CISA juga telah mendesak lembaga pemerintah dan organisasi sektor swasta yang menggunakan Microsoft Exchange untuk mempercepat peralihan dari metode otentikasi warisan Basic Auth ke alternatif Auth Modern.

Agen FCEB juga disarankan untuk memblokir Basic auth setelah bermigrasi ke Modern Auth karena mempersulit pelaku ancaman untuk melakukan serangan password spray dan credential stuffing.

Sumber: Bleeping Computer

CISA memperingatkan organisasi untuk beralih ke Exchange Online Modern Auth hingga Oktober

by

CISA telah mendesak lembaga pemerintah dan organisasi sektor swasta yang menggunakan platform email cloud Exchange Microsoft untuk mempercepat peralihan dari metode otentikasi warisan Otentikasi Dasar tanpa dukungan otentikasi multifaktor (MFA) ke alternatif Otentikasi Modern.

Basic Auth (otentikasi proxy) adalah skema autentikasi berbasis HTTP yang digunakan oleh aplikasi untuk mengirim kredensial dalam teks biasa ke server, titik akhir, atau layanan online.

Alternatifnya, Modern Auth (Active Directory Authentication Library dan otentikasi berbasis token OAuth 2.0), menggunakan token akses OAuth dengan masa pakai terbatas yang tidak dapat digunakan kembali untuk mengautentikasi sumber daya lain selain yang dikeluarkan untuknya.

Aplikasi yang menggunakan Auth Dasar memungkinkan penyerang untuk menebak kredensial dalam serangan semprotan kata sandi atau menangkapnya dalam serangan man-in-the-middle melalui TLS. Lebih buruk lagi, saat menggunakan autentikasi dasar, otentikasi multifaktor (MFA) cukup rumit untuk diaktifkan, dan, akibatnya, sering kali tidak digunakan sama sekali.

Agen Federal Civilian Executive Branch (FCEB) juga disarankan untuk memblokir Basic auth setelah bermigrasi ke Modern Auth, yang menurut Microsoft, akan mempersulit pelaku ancaman untuk melakukan serangan password spray dan credential stuffing yang berhasil.

Menurut panduan CISA, ini dapat dilakukan dengan membuat kebijakan otentikasi untuk semua kotak surat Exchange Online dari Halaman Auth Modern Pusat Admin M365 (detail di sini) atau kebijakan Akses Bersyarat di Azure Active Directory (AAD) menggunakan Pusat Admin AAD (petunjuk di sini).

Peringatan CISA muncul setelah Microsoft juga mengingatkan pelanggan pada bulan Mei bahwa mereka akan mulai menonaktifkan Otentikasi Dasar di penyewa acak di seluruh dunia mulai 1 Oktober 2022.

Microsoft pertama kali mengumumkan bahwa mereka akan menonaktifkan Autentikasi Dasar di Exchange Online untuk semua protokol di semua penyewa pada September 2021.

Redmond berencana untuk menonaktifkan Basic Auth untuk protokol MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, dan Remote PowerShell.

Sementara SMTP AUTH telah dinonaktifkan di jutaan penyewa yang tidak menggunakannya, Microsoft mengatakan tidak akan menonaktifkannya di tempat yang masih digunakan.

Laporan Guardicore yang diterbitkan pada September 2021 lebih jauh menyoroti pentingnya memindahkan pengguna Exchange Online dari autentikasi dasar.

Amit Serper, AVP Riset Keamanan Guardicore pada saat itu, mengungkapkan bagaimana ratusan ribu kredensial domain Windows bocor dalam teks biasa ke domain eksternal oleh klien email yang salah dikonfigurasi menggunakan auth dasar.

Sumber: Bleeping Computer

Google Workspace sekarang memberi peringatan tentang perubahan penting pada akun admin

by

Google Workspace (sebelumnya G Suite) telah diperbarui untuk memberi tahu admin tentang perubahan yang sangat sensitif pada konfigurasi, termasuk yang dibuat pada profil sistem masuk tunggal (SSO) dan akun admin.

Lansiran yang baru ditambahkan ini tersedia untuk semua pelanggan Google Workspace, termasuk pelanggan G Suite Basic dan Bisnis lama.

Menurut Google, peringatan dan pemberitahuan email terkait diaktifkan secara default, dan admin tidak dapat menonaktifkannya.

Daftar lengkap lansiran yang baru ditambahkan meliputi:

  • Perubahan pada admin utama
  • Reset kata sandi untuk admin super: saat kata sandi disetel ulang untuk akun admin super.
  • Profil SSO ditambahkan: ketika profil SSO pihak ketiga telah ditambahkan dan diaktifkan untuk organisasi Anda.
  • Profil SSO diperbarui: ketika profil SSO pihak ketiga telah diperbarui untuk organisasi Anda.
  • Profil SSO dihapus: ketika profil SSO pihak ketiga telah dihapus untuk organisasi Anda.
  • Google telah mulai meluncurkan lansiran ke domain Rilis Cepat dan Rilis Terjadwal mulai 28 Juni 2022.
Peringatan perubahan berisiko tinggi Google Workspaces (Google)

Meskipun mereka tidak dapat menonaktifkan notifikasi, admin dapat menemukan lebih banyak tentang mengonfigurasi pengguna mana yang harus menerima notifikasi email, pusat notifikasi dan melihat detail notifikasi, serta log audit admin dari Pusat Bantuan.

Perusahaan menambahkan pada hari Selasa bahwa mereka berencana untuk memasukkan lebih banyak pemberitahuan otomatis ke Pusat Peringatan untuk memberi tahu admin tentang tindakan berisiko tinggi yang dapat memengaruhi keamanan organisasi mereka.

Google telah mengamankan lebih lanjut pelanggan Workspace dari serangan dengan peluncuran spanduk peringatan Google Drive baru pada bulan Januari untuk memperingatkan pengguna tentang file yang berpotensi mencurigakan yang dapat digunakan pelaku ancaman untuk pengiriman malware dan serangan phishing.

Satu tahun yang lalu, pada Juni 2021, perusahaan juga menambahkan perlindungan phishing dan malware Google Drive baru untuk perusahaan yang secara otomatis menandai semua file yang mencurigakan, sehingga hanya dapat dilihat oleh pemilik dan admin.

Sebagai akibat langsung dari kemampuan baru ini, dokumen yang berpotensi berbahaya tidak dapat lagi dibagikan di dalam organisasi untuk mengirimkan muatan berbahaya atau mengarahkan pengguna ke situs phishing.

Ini secara drastis mengurangi jumlah pengguna Google Workspace yang terkena dampak serangan berbahaya yang menyalahgunakan Google Drive untuk pengiriman phishing dan malware.

Sumber: Bleeping Computer

Amazon memperbaiki kerentanan tingkat tinggi di aplikasi Foto Android

by

Amazon telah mengkonfirmasi dan memperbaiki kerentanan di aplikasi Foto untuk Android, yang telah diunduh lebih dari 50 juta kali di Google Play Store.

Amazon Photos adalah aplikasi penyimpanan gambar dan video yang memungkinkan pengguna berbagi foto mereka dengan lancar hingga lima anggota keluarga, menawarkan fitur manajemen dan organisasi yang kuat.

Foto Amazon di Play Store

Cacatnya, ditemukan oleh para peneliti di Checkmarx, terletak pada kesalahan konfigurasi komponen aplikasi, yang mengakibatkan file manifesnya dapat diakses secara eksternal tanpa autentikasi.

Mengeksploitasi bug ini dapat mengaktifkan aplikasi berbahaya yang diinstal pada perangkat yang sama untuk mengambil token akses Amazon yang digunakan untuk otentikasi API Amazon.

API ini mungkin berisi informasi pribadi yang sensitif seperti nama lengkap, email, dan alamat fisik, sementara yang lain seperti Amazon Drive API menyimpan file pengguna.

Komponen yang rentan adalah “com.amazon.gallery.thor.app.activity.ThorViewActivity”, yang, saat diluncurkan, memicu permintaan HTTP yang berisi header dengan token pengguna.

Komponen aktivitas rentan (Checkmarx)

Peneliti Checkmarx menemukan bahwa aplikasi eksternal dapat dengan mudah meluncurkan aktivitas yang rentan dan memicu permintaan sesuka hati, mengirimkan token ke server yang dikendalikan aktor.

Permintaan yang berisi token Amazon yang diterima di titik akhir berbahaya (Checkmarx)

Analis mengeksplorasi berbagai skenario eksploitasi dengan token yang diperoleh, seperti melakukan tindakan file pada penyimpanan cloud Amazon Drive korban, menghapus riwayat sehingga data yang dihapus tidak dapat dipulihkan, dan banyak lagi.

Token yang sama mungkin digunakan oleh API Amazon lainnya, seperti Prime Video, Alexa, Kindle, dll., sehingga potensi eksploitasi bisa meluas.

Checkmarx melaporkan masalah tersebut ke Amazon pada 7 November 2021, dan raksasa internet itu mengkonfirmasi penerimaan pada hari berikutnya, mengklasifikasikannya sebagai kerentanan tingkat tinggi.

Pada 18 Desember 2021, Amazon memberi tahu Checkmarx bahwa mereka telah menyelesaikan masalah melalui pembaruan keamanan yang diterapkan ke produksi. Namun, pengguna aplikasi tidak pernah diberitahu tentang potensi paparan.

Kami telah menghubungi Amazon untuk menanyakan apakah mereka melihat tanda-tanda eksploitasi kerentanan dan apakah ada laporan akses API Amazon yang tidak sah selama periode itu, dan juru bicara telah memberi kami komentar berikut:

Kami merilis perbaikan untuk masalah ini segera setelah mendapat perhatian kami. Kami tidak memiliki bukti bahwa informasi sensitif pelanggan terungkap sebagai akibat dari masalah ini.

Sumber: Bleeping Computer

New YTStealer malware steals accounts from YouTube Creators

by

Malware pencuri informasi baru bernama YTStealer menargetkan pembuat konten YouTube dan mencoba mencuri token autentikasi mereka dan membajak saluran mereka.

Menurut sebuah laporan yang diterbitkan hari ini oleh Intezer, fokus pada satu tujuan telah memberi penulis YTStealer kemampuan untuk membuat operasi pencurian tokennya menjadi sangat efektif, menggabungkan trik khusus yang canggih.

Karena malware YTStealer menargetkan pembuat konten YouTube, sebagian besar distribusinya menggunakan perangkat lunak yang meniru umpan yang mengedit video atau bertindak sebagai konten untuk video baru.

Contoh perangkat lunak tiruan yang berisi penginstal YTStealer berbahaya termasuk OBS Studio, Adobe Premiere Pro, FL Studio, Ableton Live, Antares Auto-Tune Pro, dan Filmora.

Dalam kasus lain yang menargetkan pembuat konten game, YTStealer meniru mod untuk Grand Theft Auto V, cheat untuk Counter-Strike Go dan Call of Duty, game Valorant, atau peretasan untuk Roblox.

Para peneliti juga melihat celah dan generator token untuk Discord Nitro dan Spotify Premium yang membawa malware baru.

Menurut Intezer, YTStealer biasanya dibundel dengan pencuri informasi lainnya seperti RedLine dan Vidar yang terkenal. Dengan demikian, sebagian besar diperlakukan sebagai “bonus” khusus yang dijatuhkan bersama malware yang menargetkan pencurian kata sandi dari cakupan perangkat lunak yang lebih luas.

Malware YTStealer menjalankan beberapa pemeriksaan anti-kotak pasir sebelum dijalankan di host, menggunakan alat Chacal sumber terbuka untuk tujuan ini.

Jika mesin yang terinfeksi dianggap sebagai target yang valid, malware akan memeriksa file database SQL browser untuk menemukan token autentikasi YouTube.

Selanjutnya, ia memvalidasinya dengan meluncurkan browser web dalam mode tanpa kepala dan menambahkan cookie yang dicuri ke tokonya. Jika valid, YTStealer juga mengumpulkan informasi tambahan seperti:

  • Nama saluran YouTube
  • Jumlah pelanggan
  • Tanggal pembuatan
  • Status monetisasi
  • Status saluran artis resmi

Meluncurkan browser web dalam mode tanpa kepala membuat seluruh operasi tersembunyi bagi korban, yang tidak akan melihat sesuatu yang aneh kecuali mereka meneliti proses yang sedang berjalan.

Untuk mengontrol browser, YTStealer menggunakan perpustakaan yang disebut Rod, sebuah utilitas yang banyak digunakan untuk otomatisasi web dan scraping. Oleh karena itu, pemusnahan informasi saluran YouTube terjadi tanpa intervensi manual dari pelaku ancaman.

YTStealer sepenuhnya otomatis dan tidak membedakan antara akun YouTube kecil atau besar, mencuri semuanya dan membiarkan operatornya mengevaluasi tangkapan mereka nanti.

Intezer percaya bahwa akun YouTube yang dicuri dijual di web gelap, dengan harga tergantung pada ukuran saluran. Jelas, semakin besar dan lebih berpengaruh saluran YouTube, semakin mahal untuk membeli di pasar web gelap.

Pembeli akun tersebut biasanya menggunakan cookie otentikasi curian ini untuk membajak saluran YouTube untuk berbagai penipuan, biasanya cryptocurrency, atau meminta uang tebusan dari pemilik sebenarnya.

Ini sangat berbahaya bagi pembuat konten YouTube karena meskipun akun mereka aman dengan autentikasi multi-faktor, token autentikasi akan melewati MFA dan memungkinkan pelaku ancaman untuk masuk ke akun mereka.

Oleh karena itu, kreator YouTube disarankan untuk keluar dari akunnya secara berkala untuk membatalkan semua token autentikasi yang mungkin telah dibuat atau dicuri sebelumnya.

Sumber: Bleeping Computer