Latar belakang dan indikator kompromi (IOC) untuk blog ini dikumpulkan oleh seorang pakar di forum kami dan peneliti Malwarebytes.
Sebuah kampanye jahat baru sedang menyebar secara online dan dimulai dengan cara yang sederhana: Target yang tidak curiga menerima pesan langsung (DM) di server Discord yang menanyakan minat mereka untuk menguji beta sebuah videogame baru (target juga dapat menerima pesan teks atau email). Seringkali, pesan ini berasal dari “pengembang” itu sendiri, karena menanyakan apakah Anda dapat mencoba game yang mereka buat secara pribadi adalah metode umum untuk memikat korban.
Jika tertarik, korban akan menerima tautan unduhan dan kata sandi untuk arsip yang berisi penginstal yang dijanjikan.
Modus Operandi
Arsip ini ditawarkan untuk diunduh di berbagai lokasi seperti Dropbox, Catbox, dan sering kali di jaringan pengiriman konten (CDN) Discord, dengan menggunakan akun yang telah dikompromikan untuk menambah kredibilitas ekstra.
Namun, apa yang sebenarnya diunduh dan diinstal oleh target adalah Trojan pencuri informasi.
Ada beberapa variasi yang beredar. Beberapa menggunakan penginstal NSIS, tetapi kami juga telah melihat penginstal MSI. Selain itu, berbagai pencuri informasi disebarkan melalui saluran ini, seperti Nova Stealer, Ageo Stealer, atau Hexon Stealer.
- Nova Stealer dan Ageo Stealer adalah malware-as-a-service (MaaS), di mana penjahat menyewakan malware dan infrastruktur kepada penjahat lainnya. Malware ini berfokus pada pencurian kredensial yang disimpan di sebagian besar browser, pencurian cookie sesi untuk platform seperti Discord dan Steam, serta informasi terkait dompet mata uang kripto.
Sebagian dari infrastruktur Nova Stealer adalah webhook Discord, yang memungkinkan penjahat menerima data dari server secara otomatis saat suatu peristiwa terjadi, sehingga mereka tidak perlu memeriksa secara berkala.
- Hexon Stealer relatif baru, tetapi diketahui didasarkan pada kode Stealit Stealer dan mampu mengekfiltrasi token Discord, kode cadangan 2FA, cookie browser, data pengisian otomatis, kata sandi yang disimpan, detail kartu kredit, dan informasi dompet mata uang kripto.
Fokus Utama: Kredensial Discord
Salah satu minat utama para pencuri informasi ini tampaknya adalah kredensial Discord, yang dapat digunakan untuk memperluas jaringan akun yang dikompromikan. Informasi yang dicuri juga mencakup akun teman dari korban. Dengan mengkompromikan semakin banyak akun Discord, para penjahat dapat menipu pengguna Discord lainnya untuk percaya bahwa teman dan kontak sehari-hari mereka sedang berbicara dengan mereka, sehingga secara emosional memanipulasi pengguna tersebut untuk jatuh pada lebih banyak penipuan dan kampanye malware.
Namun, tujuan akhir dari penipuan ini, seperti kebanyakan lainnya, adalah keuntungan finansial. Jadi, pantau mata uang digital dan uang tunai Anda jika Anda menjadi korban salah satu dari penipuan ini.
Cara Mengenali Situs Game Palsu
Ada satu kampanye yang sangat aktif yang menggunakan template standar untuk situs web mereka. Hal ini memudahkan para penjahat siber untuk mengubah nama dan lokasi, tetapi juga memudahkan kita untuk mengenali mereka.
Contoh template situs web palsu
- Situs ini di-host oleh berbagai perusahaan yang sangat lambat dalam merespons permintaan penutupan dan biasanya dilindungi oleh Cloudflare, yang menambahkan lapisan kesulitan ekstra bagi peneliti yang mencoba menutup situs tersebut. Jika ditutup, mereka dengan mudah membuat situs baru.
Kampanye lain menggunakan Blogspot untuk menyebarkan malware mereka. Situs di Blogspot ini memiliki desain yang berbeda tetapi tetap menggunakan template standar.
Langkah Pencegahan
Langkah-langkah efektif untuk tetap aman dari ancaman ini meliputi:
- Memastikan solusi anti-malware di komputer Anda selalu diperbarui dan aktif.
- Memverifikasi undangan dari “teman” melalui saluran berbeda, seperti menghubungi mereka langsung melalui teks atau platform media sosial lain. Ingat, akun mereka saat ini mungkin telah dikompromikan.
- Tidak bertindak atas pesan dan email yang tidak diminta, terutama jika meminta Anda untuk mengunduh dan menginstal sesuatu.
Segera cegah perangkat Anda dari serangan Malware, Virus. Jika Anda tertarik untuk menjadikan Malwarebytes sebagai Solusi Anti-Malware, Anda dapat mendiskusikan kebutuhan Anda kepada Malwarebytes Indonesia untuk menemukan Solusi dari kebutuhan Anda.