Kaspersky Ungkap OkoBot: Malware Pencuri Crypto Paling Berbahaya untuk Pemilik Dompet

2 jam yang lalu
Waktu baca 1 menit
1 tampilan

Peringatan dari Kaspersky tentang Malware OkoBot

Para ahli dari Tim Penelitian dan Analisis Global Kaspersky (GReAT) memperingatkan bahwa ratusan pengguna di 25 negara berisiko kehilangan aset mereka akibat kerangka malware berbahaya bernama OkoBot, yang kini telah memasuki fase aktif dan menargetkan pemilik cryptocurrency. Para peretas telah sepenuhnya merevisi taktik mereka dan kini menyasar individu yang merasa telah sepenuhnya terlindungi, seperti yang dicatat dalam laporan terbaru mereka.

Cara Kerja Malware OkoBot

Malware ini mencuri dana dengan cara mengintersepsi fungsi aplikasi resmi seperti Ledger Live, Ledger Wallet, dan Trezor Suite, serta menampilkan jendela verifikasi palsu. Untuk menghindari terjebak dalam trik ini, pengguna disarankan untuk mengikuti tiga aturan keamanan kunci dengan ketat. Dalam kampanye ini, penyerang secara sengaja menargetkan spesialis TI dan pengembang perangkat lunak. Kompromi awal terjadi ketika para peretas menyamarkan malware sebagai alat kerja populer dan mendistribusikan perangkat lunak yang terinfeksi melalui GitHub. Secara khusus, para peneliti telah menemukan malware di dalam installer Microsoft SQL Server Management Studio (SSMS) palsu.

Teknik Serangan yang Digunakan

Pada saat yang sama, penyerang menggunakan teknik serangan ClickFix yang canggih, di mana pengguna diyakinkan untuk menyalin dan menjalankan kode berbahaya di terminal dengan dalih memperbaiki kesalahan browser yang tidak terduga. Menurut Kaspersky GReAT, karena malware ini menggunakan struktur modular yang terdiri dari lebih dari 20 komponen, termasuk Rilide infostealer dan modul pengawasan OkoSpyware, jangkauan geografis serangan diperkirakan akan meluas melampaui negara-negara yang saat ini melaporkan jumlah infeksi tertinggi, seperti Brasil, Vietnam, Kanada, Meksiko, dan Turki.

Risiko Ekstensi Tersembunyi

Ekstensi tersembunyi baru untuk browser berbasis Chromium, termasuk Chrome dan Edge, juga diperkirakan akan muncul. Malware ini dapat sepenuhnya menghapus ekstensi tersebut dari daftar add-on yang terpasang, sehingga membuat pengguna tidak menyadari keberadaannya. Tahap akhir dari serangan ini mungkin melibatkan penjualan akses skala besar ke komputer korban. Setelah berhasil menyusup ke dalam sistem, OkoBot secara diam-diam membuat akun administrator baru dan membuka terowongan SSH permanen untuk kontrol jarak jauh melalui RDP.