Penggunaan Captcha Palsu untuk Mendistribusikan Malware
Pelaku kejahatan siber menggunakan prompt Captcha palsu untuk mendistribusikan malware Lumma Stealer tanpa file, menurut penelitian dari perusahaan keamanan siber DNSFilter. Malware ini pertama kali terdeteksi di situs web perbankan Yunani, di mana prompt tersebut meminta pengguna Windows untuk menyalin dan menempelkan instruksi ke dalam kotak dialog Run, lalu menekan Enter.
Statistik Interaksi dengan Captcha Palsu
DNSFilter melaporkan bahwa klien perusahaan tersebut berinteraksi dengan Captcha palsu sebanyak 23 kali dalam tiga hari, dan 17% dari orang-orang yang menemui prompt tersebut menyelesaikan langkah-langkah di layar, yang mengakibatkan upaya pengiriman malware.
Deskripsi Malware Lumma Stealer
Evangelist Global Partner DNSFilter, Mikey Pruitt, menjelaskan bahwa Lumma Stealer adalah jenis malware yang mencari kredensial dan data sensitif lainnya di perangkat yang terinfeksi. “Lumma Stealer segera menyapu sistem untuk mencari apa pun yang dapat dimonetisasi—seperti kata sandi dan cookie yang disimpan di browser, token 2FA, data dompet cryptocurrency, kredensial akses jarak jauh, dan bahkan brankas pengelola kata sandi,” katanya kepada Decrypt.
Tujuan Penggunaan Data yang Dicuri
Pruitt menjelaskan bahwa pelaku jahat menggunakan data yang dicuri untuk berbagai tujuan yang biasanya berujung pada keuntungan finansial, seperti pencurian identitas dan akses ke akun online untuk pencurian finansial atau transaksi penipuan, serta mendapatkan akses ke dompet cryptocurrency. Menurut Pruitt, Lumma Stealer memiliki jangkauan yang luas dan dapat ditemukan di berbagai situs web.
“Meskipun kami tidak dapat berbicara tentang seberapa banyak yang mungkin hilang melalui satu saluran ini, ancaman ini dapat muncul di situs yang tampaknya tidak berbahaya,” jelasnya. “Ini membuatnya sangat berbahaya dan penting untuk tetap waspada ketika sesuatu tampak mencurigakan.”
Malware-as-a-Service (MaaS)
Lumma Stealer bukan hanya sekadar malware, tetapi juga contoh Malware-as-a-Service (MaaS), yang dilaporkan oleh perusahaan keamanan bertanggung jawab atas peningkatan serangan malware dalam beberapa tahun terakhir. Menurut analis malware ESET, Jakub Tomanek, operator di balik Lumma Stealer terus mengembangkan fiturnya, menyempurnakan kemampuannya untuk menghindari deteksi, sambil juga mendaftarkan domain untuk menghosting malware.
“Tujuan utama mereka adalah menjaga layanan tetap beroperasi dan menguntungkan, mengumpulkan biaya langganan bulanan dari afiliasi—secara efektif menjalankan Lumma Stealer sebagai bisnis kejahatan siber yang berkelanjutan,” katanya kepada Decrypt.
Upaya Penegakan Hukum
Pada bulan Mei, Departemen Kehakiman AS menyita lima domain internet yang digunakan oleh pelaku jahat untuk mengoperasikan malware Lumma Stealer, sementara Microsoft secara pribadi menutup 2.300 domain serupa. Namun, laporan menunjukkan bahwa Lumma Stealer telah muncul kembali sejak bulan Mei, dengan analisis bulan Juli dari Trend Micro menunjukkan bahwa “jumlah akun yang menjadi target secara bertahap kembali ke tingkat normal mereka” antara bulan Juni dan Juli.
Biaya dan Daya Tarik Lumma Stealer
Sebagian dari daya tarik Lumma Stealer adalah bahwa langganan, yang sering kali bulanan, relatif murah dibandingkan dengan potensi keuntungan yang bisa didapat. “Tersedia di forum dark web seharga $250, pencuri informasi canggih ini secara khusus menargetkan apa yang paling penting bagi para penjahat siber – dompet cryptocurrency, kredensial yang disimpan di browser, dan sistem otentikasi dua faktor,” kata Nathaniel Jones, VP Keamanan & Strategi AI di Darktrace.
Kerugian dan Dampak
Jones mengatakan kepada Decrypt bahwa skala eksploitasi Lumma Stealer telah “mengerikan,” dengan 2023 menyaksikan perkiraan kerugian sebesar $36,5 juta, serta 400.000 perangkat Windows terinfeksi dalam waktu dua bulan. “Tetapi kekhawatiran yang sebenarnya bukan hanya angka – itu adalah strategi monetisasi yang berlapis-lapis,” katanya.
“Lumma tidak hanya mencuri data, tetapi secara sistematis mengumpulkan riwayat browser, informasi sistem, dan bahkan file konfigurasi AnyDesk sebelum mengekstrak semuanya ke pusat komando yang dikendalikan Rusia.”
Efek Domino dari Pencurian Data
Meningkatkan ancaman Lumma Stealer adalah fakta bahwa data yang dicuri sering kali langsung disalurkan ke “tim trafer”, yang mengkhususkan diri dalam pencurian dan penjualan kembali kredensial. “Ini menciptakan efek domino yang menghancurkan di mana satu infeksi dapat menyebabkan pembajakan rekening bank, pencurian cryptocurrency, dan penipuan identitas yang bertahan lama setelah pelanggaran awal,” tambah Jones.
Asal Usul dan Operasi Pelaku Kejahatan
Sementara Darktrace menyarankan asal atau pusat Rusia untuk eksploitasi terkait Lumma, DNSFilter mencatat bahwa pelaku jahat yang memanfaatkan layanan malware ini dapat beroperasi dari berbagai wilayah. “Adalah hal yang umum bagi aktivitas jahat semacam itu melibatkan individu atau kelompok dari berbagai negara,” kata Pruitt, menambahkan bahwa ini terutama umum “dengan penggunaan penyedia hosting internasional dan platform distribusi malware.”
