Tim Riset dan Analisis Global Kaspersky telah mengungkap kampanye berbahaya baru dan berkelanjutan yang mengeksploitasi perangkat lunak populer, seperti Foxit PDF Editor, AutoCAD, dan JetBrains.
Para penyerang menggunakan malware stealer (pencuri) untuk menangkap informasi kartu kredit korban dan detail tentang perangkat mereka yang terinfeksi, sementara juga beroperasi sebagai penambang kripto dan secara diam-diam memanfaatkan kekuatan komputer yang terinfeksi untuk menambang kripto.
Hanya dalam waktu tiga bulan, teknologi Kaspersky telah menggagalkan lebih dari 11.000 upaya serangan, dengan mayoritas pengguna yang terkena dampak berada di Brasil, Tiongkok, Rusia, Meksiko, UEA, Mesir, Aljazair, Vietnam, India, dan Sri Lanka.
Pada bulan Agustus 2024, Tim Riset dan Analisis Global Kaspersky (GReAT) mengungkap serangkaian serangan yang melibatkan kumpulan malware penambang dan pencuri yang sebelumnya tidak dikenal, yang mereka sebut SteelFox.
Vektor serangan awal melibatkan posting di forum dan pelacak torrent, tempat dropper SteelFox diiklankan sebagai cara untuk mengaktifkan produk perangkat lunak yang sah secara gratis. Dropper ini menyamar sebagai crack untuk program populer seperti Foxit PDF Editor, JetBrains, dan AutoCAD. Meskipun mereka menawarkan fungsionalitas yang dijanjikan, mereka juga mengirimkan malware canggih langsung ke komputer pengguna.
Kampanye ini terdiri dari dua komponen utama: modul stealer dan penambang kripto. SteelFox mengumpulkan informasi ekstensif dari komputer korban, termasuk data peramban, kredensial akun, informasi kartu kredit, dan detail tentang perangkat lunak yang terinstal serta solusi antivirus.
Ia juga dapat menangkap kata sandi Wi-Fi, informasi sistem, dan data zona waktu. Selain itu, para penyerang menggunakan versi modifikasi XMRig, penambang sumber terbuka, untuk memanfaatkan kekuatan perangkat yang terinfeksi untuk penambangan kripto, yang kemungkinan menargetkan Monero.
Penelitian GReAT menunjukkan bahwa kampanye tersebut telah aktif setidaknya sejak Februari 2023 dan terus menimbulkan ancaman hingga saat ini. Selama operasinya, meskipun aktor ancaman di balik kampanye SteelFox tidak mengubah fungsinya secara signifikan, mereka berupaya memodifikasi teknik dan kodenya untuk menghindari deteksi.
“Para penyerang secara bertahap mendiversifikasi vektor infeksi mereka, awalnya menargetkan pengguna Foxit Reader. Setelah mereka mengonfirmasi bahwa kampanye itu efektif, mereka memperluas jangkauan mereka untuk menyertakan crack untuk produk JetBrains,” komentar Dmitry Galov, Kepala Pusat Penelitian untuk Rusia dan CIS di Kaspersky’s GReAT.
“Tiga bulan kemudian, mereka mulai mengeksploitasi nama AutoCAD juga. Kampanye ini masih aktif, dan kami mengantisipasi bahwa mereka mungkin mulai mendistribusikan malware dengan kedok produk lain yang lebih populer,” lanjut Dmitry.
SteelFox beroperasi dalam skala besar, memengaruhi siapa saja yang menemukan perangkat lunak yang disusupi. Dari bulan Agustus hingga akhir Oktober, solusi keamanan Kaspersky mendeteksi lebih dari 11.000 serangan, dengan mayoritas pengguna yang terkena dampak berada di Brasil, Tiongkok, Rusia, Meksiko, UEA, Mesir, Aljazair, Vietnam, India, dan Sri Lanka.
Untuk meminimalkan risiko menjadi korban kampanye berbahaya tersebut, para ahli Kaspersky juga menyarankan:
• Unduh aplikasi hanya dari sumber resmi.
• Perbarui sistem operasi dan aplikasi yang terinstal secara berkala.
• Instal solusi keamanan yang andal dari pengembang yang produknya divalidasi oleh laboratorium pengujian independen, seperti Kaspersky Premium.
Produk Kaspersky mendeteksi ancaman ini sebagai HEUR:Trojan.Win64.SteelFox.gen,Trojan.Win64.SteelFox. Rincian tentang kampanye berbahaya SteelFox tersedia di Securelist.com.
