Valorant

Analis keamanan Korea telah melihat kampanye distribusi malware yang menggunakan umpan cheat Valorant di YouTube untuk mengelabui pemain agar mengunduh RedLine, pencuri informasi yang kuat.

Kampanye yang ditemukan oleh ASEC menargetkan komunitas game Valorant, penembak orang pertama gratis untuk Windows, menawarkan tautan untuk mengunduh bot yang bertujuan otomatis pada deskripsi video.

Video yang mempromosikan bot tujuan otomatis palsu (ASEC)

Cheat ini diduga merupakan add-on yang dipasang di game untuk membantu para pemain membidik musuh dengan kecepatan dan presisi, memenangkan headshots tanpa menunjukkan keterampilan apa pun.

Bot yang bertujuan otomatis sangat dicari untuk game multipemain populer seperti Valorant karena memungkinkan peningkatan peringkat yang mudah.

Pengguna yang mencoba mengunduh file dalam deskripsi video akan dibawa ke halaman anonfiles dari mana mereka akan mendapatkan arsip RAR yang berisi executable bernama “Cheat installer.exe”.

File ini, pada kenyataannya, adalah salinan pencuri RedLine, salah satu infeksi malware pencuri kata sandi yang paling banyak digunakan yang mengambil data berikut dari sistem yang terinfeksi:

Informasi dasar: Nama komputer, nama pengguna, alamat IP, versi Windows, informasi sistem (CPU, GPU, RAM, dll.), dan daftar proses
Browser web: Kata sandi, nomor kartu kredit, formulir IsiOtomatis, bookmark, dan cookie, dari Chrome, browser berbasis Chrome, dan Firefox
Dompet Cryptocurrency: Armory, AtomicWallet, BitcoinCore, Bytecoin, DashCore, Electrum, Ethereum, LitecoinCore, Monero, Exodus, Zcash, dan Jaxx
Klien VPN: ProtonVPN, OpenVPN, dan NordVPN
Lainnya: FileZilla (alamat host, nomor port, nama pengguna, dan kata sandi), Minecraft (kredensial akun, level, peringkat), Steam (sesi klien), Discord (informasi token)
Setelah mengumpulkan informasi ini, RedLine dengan rapi mengemasnya dalam arsip ZIP bernama “().zip” dan mengekstrak file melalui permintaan POST API WebHook ke server Discord.

Mengeksfiltrasi informasi yang dicuri melalui Discord WebHook (ASEC)

Tak satu pun dari alat cheat ini dibuat oleh entitas yang dapat dipercaya, tidak ada yang ditandatangani secara digital (jadi peringatan AV pasti akan diabaikan), dan banyak yang memang malware.

Laporan ASEC berisi contoh terbaru, tetapi itu hanya setetes tautan unduhan berbahaya di bawah video YouTube yang mempromosikan berbagai jenis perangkat lunak gratis.

Video yang mempromosikan alat ini sering dicuri dari tempat lain dan diposting ulang dari pengguna jahat di saluran yang baru dibuat untuk bertindak sebagai umpan.

Sumber : Bleeping Computer

Overview

Sebuah game bernama Valorant, yang saat ini sedang dalam pengembangan dan berjalan pada sistem Windows, digunakan sebagai umpan dalam kampanye yang menargetkan perangkat Android. Dalam kampanye, video YouTube digunakan untuk mempromosikan apa yang dianggap sebagai versi mobile dari game tersebut, tersedia untuk perangkat Android dan iOS. Video lengkap dengan ulasan dan komentar pengguna palsu.

Korban akan diarahkan ke situs web yang merupakan versi palsu dari situs Valorant yang sebenarnya. Dua tautan unduhan disediakan di situs palsu tersebut, satu untuk versi iOS, yang lainnya untuk versi Android. Jika tautan iOS diklik, pengguna akan diarahkan ke situs afiliasi. Jika tautan Android diklik, dan perangkat Android dikonfigurasikan untuk memungkinkan pemasangan aplikasi di luar Google Play, aplikasi palsu akan diinstal.

Ketika aplikasi dijalankan, ia meniru layar pemuatan game tetapi memberi tahu korban bahwa game harus ‘diunlock’ yang memerlukan pengunduhan dua aplikasi lainnya.

Jika proses infeksi selesai dan payload Android.FakeApp.176 diinstal, korban diarahkan ke situs afiliasi yang sama yang diarahkan untuk pengguna iOS. Berdasarkan parameter tertentu, perangkat Android yang terinfeksi diarahkan ke situs lain yang meminta korban menyelesaikan tugas, atau berpartisipasi dalam survei, untuk mendapatkan hadiah.

Sebelumnya, game lain seperti Call of Duty: Warzone, Fortnite, dan Apex Legends, telah digunakan sebagai umpan untuk mengirimkan muatan Android.FakeApp.176. Informasi lebih lanjut tersedia pada tautan di bagian Referensi.

Rekomendasi

1. Pastikan perangkat lunak anti-virus dan file terkait selalu diperbarui.
2. Cari tanda-tanda yang ada dari IoC di lingkungan Anda.
3. Pertimbangkan untuk memblokir dan atau mengatur deteksi untuk semua IOC berbasis URL dan IP.
4. Tetap jalankan aplikasi dan sistem operasi pada level patch yang dirilis saat ini.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cheat Valorant Palsu di YouTube menginfeksi Anda dengan pencuri RedLine

Penipu Menyebarkan Trojan Seluler Yang Menyamar Sebagai Game Valorant

Ringkasan

Jenis Ancaman

Overview

IoC’s (Indicator of Compromises)

Rekomendasi

Referensi