Image credit: Magnific
Kampanye GitHub Palsu Sebarkan Malware Infostealer – Pelaku ancaman siber telah menerbitkan ratusan repositori GitHub palsu yang menyamar sebagai proyek perangkat lunak dan aplikasi keamanan populer untuk menyebarkan malware pencuri informasi (infostealer).
Kampanye ini memanfaatkan hasil pencarian yang berkaitan dengan:
- Berbagai produk keamanan.
- Layanan mata uang kripto.
- Aplikasi keuangan.
- Utilitas bagi pengembang.
- Penyedia email aman.
- Utilitas macOS.
- Perangkat lunak gim.
Malware yang disebarkan mampu mencuri data dari lebih dari 19 browser web, mengambil informasi dari 32 jenis dompet mata uang kripto, serta mengekstraksi data sensitif dari aplikasi perpesanan dan media sosial.
Secara keseluruhan, peneliti menemukan 292 repositori GitHub palsu, yang masing-masing dilengkapi berkas README berisi tautan unduhan yang mengarahkan pengunjung ke halaman berbahaya.
Repositori Palsu Meyakinkan
Repositori palsu tersebut menampilkan berbagai lencana keaslian (trust badges) dan elemen visual yang dirancang untuk membangun kepercayaan pengguna.
Halaman unduhan berbahaya menggunakan desain dan kata-kata yang meyakinkan, seperti tombol “Download Secure Content”, serta berbagai logo dan lencana yang menyerupai situs resmi.
Dari hasil analisis terhadap kode halaman tersebut, peneliti menemukan bahwa seluruh situs menggunakan satu template HTML dan JavaScript yang sama untuk semua merek yang dipalsukan.
Skrip pada sisi klien memproses alamat URL menjadi dua bagian, yaitu:
- Kode unik yang digunakan untuk melacak repositori atau pengarah (redirector) asal pengunjung.
- Nama domain yang dipalsukan.
Nama merek kemudian ditampilkan secara otomatis dengan memformat kembali nama domain tersebut agar tampak seperti identitas resmi.
|
Baca juga: Penipuan Email Terbaru Voicemail dan Purchase Order |
Malware Disembunyikan dalam ZIP
Menurut peneliti, halaman tersebut akan mengunduh sebuah arsip ZIP berukuran besar yang nama file dan isi muatannya berubah hampir setiap menit untuk menghindari deteksi.
Di dalam arsip tersebut terdapat libcurl.dll yang telah dimodifikasi serta aplikasi pembaruan WinGUP yang sah dan telah ditandatangani secara digital, tetapi diberi nama berbeda sesuai produk yang sedang dipalsukan.
Saat korban menjalankan file tersebut, aplikasi WinGUP melakukan teknik DLL sideloading terhadap libcurl.dll. Selanjutnya malware dijalankan langsung di memori sehingga lebih sulit dideteksi oleh perangkat keamanan.
Curi Password hingga Dompet Kripto
Malware yang digunakan diduga merupakan varian dari keluarga BoryptGrab dengan kemampuan mencuri berbagai informasi penting, antara lain:
- Kata sandi, cookies, informasi pembayaran, dan data dari 19 browser web.
- Data dari 32 merek dompet mata uang kripto.
- Sesi Telegram, token Discord, dan token Steam.
- Kredensial aplikasi perpesanan Meta Max.
- Data pada Windows Credential Manager.
Berkas di folder Desktop dan Documents yang berkaitan dengan kata sandi, recovery phrase, dompet kripto, maupun cadangan data. Tangkapan layar, informasi sistem, serta daftar perangkat lunak yang terpasang.
Peneliti juga menemukan kemampuan baru yang sebelumnya belum pernah didokumentasikan, yaitu teknik untuk melewati mekanisme App-Bound Encryption milik Google Chrome melalui injeksi kode langsung ke proses browser.
|
Baca juga: Mengenal Lebih Dekat Deepfake dan Cara Mendeteksinya |
Data Dikirim ke Server Penyerang
Seluruh data yang berhasil dicuri kemudian dikompresi sebelum dikirimkan ke server Command-and-Control (C2) yang berlokasi di Rusia.
Peneliti menjelaskan bahwa malware ini tidak dirancang untuk bertahan lama di komputer korban. Sebaliknya, malware berupaya mencuri sebanyak mungkin data hanya dalam satu kali eksekusi.
Menariknya, malware ini juga tidak memiliki mekanisme anti-analisis. Direktori sementara yang digunakan untuk menyimpan data hasil pencurian bahkan tidak dihapus, sehingga masih menyisakan jejak digital yang dapat dimanfaatkan dalam proses investigasi forensik.
Pelaku Diduga Bermotif Finansial
Pada saat laporan dipublikasikan, GitHub telah menghapus sebagian besar repositori berbahaya tersebut. Namun, para peneliti masih menemukan puluhan halaman GitHub Pages yang berfungsi sebagai pengarah menuju situs berbahaya.
Hingga kini kampanye tersebut belum dapat dikaitkan dengan kelompok ancaman tertentu. Meski demikian, berdasarkan karakteristik infrastruktur dan operasinya, peneliti memperkirakan pelaku merupakan kelompok berbahasa Rusia dengan motif utama memperoleh keuntungan finansial.
Unduh Hanya dari Sumber Resmi
Peneliti menegaskan bahwa keberhasilan kampanye ini sangat bergantung pada kepercayaan pengguna yang mengunduh perangkat lunak premium secara gratis melalui repositori GitHub tidak resmi.
Oleh karena itu, pengguna disarankan untuk selalu mengunduh perangkat lunak hanya dari situs resmi pengembang atau repositori yang telah diverifikasi.
Selain itu, organisasi juga dapat memanfaatkan aturan YARA dan Indicators of Compromise (IoC) yang telah dirilis untuk membantu mendeteksi aktivitas malware BoryptGrab di lingkungan mereka.
Baca artikel lainnya:
- Penipuan Musim Sekolah Kembali Marak
- Serangan Massal Menargetkan Protokol RDP Microsoft
- PromptLock Lahirnya Ransomware Bertenaga AI Pertama
- SIM Swapping Ancaman Serius yang Mengintai Pengguna Ponsel
- Phising dan Taktik
- Jejak Digital: Aset dan Liabilitas di Era Digital
- Aplikasi Android Berbahaya Diunduh 19 Juta Kali
- Kampanye Phising Global Sebar Malware Melalui Email
- Mengapa Enkripsi Penting untuk Pengguna Rumahan
- Taktik Canggih Malware VShell
Sumber berita:
