Peretasan dan Penambangan Kripto
Peretas telah menginfeksi lebih dari 3.500 situs web dengan skrip penambangan kripto yang tersembunyi, yang secara diam-diam membajak browser pengunjung untuk menghasilkan Monero, sebuah cryptocurrency yang berfokus pada privasi dan dirancang untuk membuat transaksi lebih sulit dilacak. Malware ini tidak mencuri kata sandi atau mengunci file; sebaliknya, ia secara diam-diam mengubah browser pengunjung menjadi mesin penambang Monero, menyedot sejumlah kecil daya pemrosesan tanpa persetujuan pengguna.
Kampanye ini, yang masih aktif hingga saat ini, pertama kali ditemukan oleh para peneliti di perusahaan keamanan siber c/side. “Dengan membatasi penggunaan CPU dan menyembunyikan lalu lintas dalam aliran WebSocket, malware ini menghindari tanda-tanda mencolok dari cryptojacking tradisional,” ungkap c/side pada hari Jumat.
Cryptojacking dan Perkembangannya
Cryptojacking, kadang dieja sebagai satu kata, adalah penggunaan perangkat seseorang tanpa izin untuk menambang cryptocurrency, biasanya tanpa sepengetahuan pemiliknya. Taktik ini pertama kali mendapatkan perhatian publik pada akhir 2017 dengan munculnya Coinhive, sebuah layanan yang kini sudah tidak berfungsi dan sempat mendominasi dunia cryptojacking sebelum ditutup pada 2019. Pada tahun yang sama, laporan tentang prevalensinya menjadi bertentangan, dengan beberapa sumber kepada Decrypt mengatakan bahwa itu belum kembali ke “tingkat sebelumnya,” meskipun beberapa laboratorium penelitian ancaman mengonfirmasi kenaikan 29% pada saat itu.
Lebih dari setengah dekade kemudian, taktik ini tampaknya sedang melakukan comeback yang tenang: mengonfigurasi ulang dirinya dari skrip yang bising dan membebani CPU menjadi penambang profil rendah yang dibangun untuk stealth dan ketahanan. Alih-alih membakar perangkat, kampanye saat ini menyebar secara diam-diam di ribuan situs, mengikuti buku pedoman baru yang, seperti yang dikatakan c/side, bertujuan untuk “tetap rendah, menambang perlahan.”
Strategi Baru dalam Penambangan Kripto
Perubahan strategi ini bukanlah kebetulan, menurut seorang peneliti keamanan informasi yang akrab dengan kampanye tersebut dan berbicara kepada Decrypt dengan syarat anonim. Kelompok ini tampaknya menggunakan kembali infrastruktur lama untuk memprioritaskan akses jangka panjang dan pendapatan pasif. “Kelompok-kelompok ini kemungkinan besar sudah mengendalikan ribuan situs WordPress yang diretas dan toko e-commerce dari kampanye Magecart sebelumnya,” kata peneliti tersebut kepada Decrypt.
Kampanye Magecart adalah serangan di mana peretas menyuntikkan kode berbahaya ke halaman checkout online untuk mencuri informasi pembayaran.
“Menanam penambang itu sepele; mereka hanya menambahkan satu skrip lagi untuk memuat JavaScript yang terobfuscate, memanfaatkan akses yang sudah ada,” kata peneliti tersebut. Namun yang menonjol, kata peneliti tersebut, adalah betapa diamnya kampanye ini beroperasi, membuatnya sulit terdeteksi dengan metode lama. “Salah satu cara skrip cryptojacking sebelumnya terdeteksi adalah melalui penggunaan CPU yang tinggi,” kata Decrypt. “Gelombang baru ini menghindari itu dengan menggunakan penambang WebAssembly yang dibatasi, yang tetap di bawah radar, membatasi penggunaan CPU dan berkomunikasi melalui WebSockets.”
WebAssembly memungkinkan kode berjalan lebih cepat di dalam browser, sementara WebSockets mempertahankan koneksi konstan ke server. Digabungkan, ini memungkinkan penambang kripto bekerja tanpa menarik perhatian. Risikonya bukan “secara langsung menargetkan pengguna kripto, karena skrip tidak menguras dompet, meskipun secara teknis, mereka bisa menambahkan penguras dompet ke payload,” kata peneliti anonim tersebut kepada Decrypt. “Target sebenarnya adalah pemilik server dan aplikasi web,” tambah mereka.
