Seorang pengembang malware meluncurkan penemuan mereka di sistemnya untuk mencoba fitur baru dan data tersebut berakhir di platform intelijen kejahatan siber.
Pelaku ancaman kali ini adalah pengembang Raccoon, dia merupakan pencuri informasi yang dapat mengumpulkan data dari lusinan aplikasi dan populer selama dua tahun terakhir.
Saat menguji varian pencuri, pengembang Raccoon menginfeksi sistem mereka sendiri yang memicu data mengalir ke server command and control (C2) dan selanjutnya, ke forum cybercrime.
Sistem pengujian yang terinfeksi oleh pengembang Raccoon ini ditemukan melalui platform Cavalier Hudson Rock, database intelijen kejahatan siber, pemantau mesin – mesin yang disusupi.
Alon Gal, salah satu pendiri dan Chief Technology Officer Hudson Rock, mengatakan bahwa infostealer Raccoon memiliki lebih dari satu juta sistem yang disusupi dan dilacak melalui Cavalier.
Peneliti mengatakan jika pengembang infostealer Raccoon menginfeksi mesin mereka sendiri pada bulan Februari tetapi tidak diketahui karena itu bukan mesin milik klien perusahaan.
Hal ini menarik perhatian melalui alamat IP-nya yaitu 1.1.1.1 dan sengaja dimodifikasi dengan server command and control sehingga yang asli tidak akan tertangkap, kata Gal.
Yang lucu, alamat IP itu digunakan oleh resolver Domain Name System (DNS) publik Cloudflare.
Data yang dikumpulkan dari sistem yang terinfeksi sendiri menunjukkan bahwa pengembang menguji kemampuan malware untuk mengekstrak kata sandi dari Google Chrome, atribut penting untuk pencuri informasi apa pun.
Informasi tambahan yang diambil dari komputer uji Raccoon mengungkapkan nama dan beberapa alamat email yang terkait dengan pengembang malware tersebut.
Sayangnya, detailnya tidak cukup untuk menentukan identitas mereka.
Gal mengatakan bahwa pembuat malware “kemungkinan menginfeksi [mesin] dengan sengaja” dan cukup berhati-hati untuk menghapus detail yang dapat mengungkapkan siapa mereka, sebelum meluncurkan malware.
Misalnya, alamat email yang digunakan untuk berbagai layanan berisi “raccoon” atau “raccoonstealer” yang mereka gunakan untuk berkomunikasi dengan pelanggan.
Peneliti juga menemukan nama Benjamin Engel, seorang hacker dari Berlin dan tokoh utama dalam film hacker Jerman 2014 “Who Am I.”
Rincian lain yang diambil dari sistem pengujian menunjukkan bahwa kotak uji pengembang memiliki cookie yang menunjukkan ke forum dengan bahasa Rusia yang populer di kalangan kelompok penjahat siber terkemuka.
Gal dapat membandingkan ID di cookie yang dihasilkan saat masuk ke forum dengan ID yang dilampirkan ke akun pencuri Raccoon di komunitas.
Meskipun informasi yang dikumpulkan dengan cara ini tidak berisi petunjuk yang diperlukan untuk memberikan nama asli kepada pengembang Raccoon, namun kita bisa mengetahui jika penjahat siber juga bisa keseleo dan masih ada harapan untuk menangkap mereka :).
Recent Comments