JAKARTA, Titik Kumpul – Penyerang menggunakan malware tersembunyi untuk menangkap informasi kartu kredit korban dan informasi tentang perangkat mereka yang terinfeksi, secara diam-diam memanfaatkan kekuatan komputer yang terinfeksi untuk menambang kripto sambil bertindak sebagai penambang kripto.
Hanya dalam tiga bulan, teknologi Kaspersky telah menggagalkan lebih dari 11 ribu serangan, dengan sebagian besar pengguna yang terkena dampak berada di Brasil, Tiongkok, Rusia, Meksiko, Uni Emirat Arab, Mesir, Aljazair, Vietnam, India, dan Sri Lanka
Pada bulan Agustus 2024, Tim Penelitian dan Analisis Global (GreAT) Kaspersky menemukan serangkaian serangan yang melibatkan kumpulan malware penambangan dan pencurian yang tidak diketahui yang dikenal sebagai SteelFox.
Vektor serangan awal mencakup iklan di forum dan pelacak tempat dropper SteelFox diiklankan sebagai cara untuk menginstal perangkat lunak yang sah secara gratis.
Drop-in ini kompatibel dengan program populer seperti Foxit PDF Editor, JetBrains, dan AutoCAD.
Meskipun memberikan fungsionalitas yang dijanjikan, mereka mengirimkan malware tingkat lanjut langsung ke komputer pengguna.
Bisnis ini memiliki dua bagian utama: mencuri modul dan penambang kripto.
SteelFox mengumpulkan berbagai informasi dari komputer korban, termasuk data browser, informasi akun, informasi kartu kredit, dan informasi tentang perangkat lunak yang diinstal dan solusi antivirus.
Virus ini dapat menangkap kata sandi Wi-Fi, informasi sistem, dan data zona waktu. Selain itu, penyerang menargetkan Monero dan menggunakan versi modifikasi dari XMRig, sebuah pengelola sumber terbuka, untuk memanfaatkan kekuatan perangkat yang terinfeksi untuk penambangan kripto.
Penelitian yang baik menunjukkan bahwa kampanye ini telah ada setidaknya sejak Februari 2023 dan masih menjadi ancaman hingga saat ini.
Selama operasinya, pelaku ancaman di balik kampanye SteelFox tidak banyak mengubah fungsinya, namun mereka mencoba memodifikasi metode dan kodenya untuk menghindari deteksi.
“Para penyerang secara bertahap mendiversifikasi vektor infeksi mereka dengan menargetkan pengguna Foxit Reader. Setelah mereka memastikan bahwa kampanye ini berhasil, mereka memperluas jangkauan mereka untuk memasukkan celah produk di JetBrains. Tiga bulan kemudian, mereka mulai mengeksploitasi nama AutoCAD dan, kami berharap bahwa malware dapat mulai didistribusikan dalam bentuk produk populer lainnya Dmitry Galov, kepala Pusat Penelitian Kaspersky di Rusia dan CIS.
