Dijuluki sebagai VirusTotal Hacking, yaitu serangan yang memungkinkan peneliti untuk mengakses 1.000.000 kredensial login yang dieksfiltrasi oleh dompet cryptocurrency yang tidak terenkripsi dan berbagai jenis malware.
Sekadar informasi, VirusTotal adalah platform online yang digunakan untuk memeriksa URL dan dokumen yang mencurigakan.
Masalah dengan temuan baru ini adalah VirusTotal dapat dieksploitasi untuk mencuri kredensial dalam jumlah besar tanpa meretas jaringan perusahaan atau membeli kredensial.
Temuan Penelitian
Menurut peneliti SafeBreach, mereka dapat mengumpulkan lebih dari 1.000.000 kredensial yang dieksfiltrasi oleh dompet cryptocurrency tidak terenkripsi dan berbagai jenis malware.
Para peneliti berhasil melakukan peretasan dengan melakukan pencarian sederhana menggunakan lisensi dan tools VirusTotal.
Semuanya dimulai dengan rasa ingin tahu demi mengidentifikasi jenis data yang dikumpulkan oleh penjahat dunia siber atau peretas jika mereka memiliki lisensi VirusTotal.
Pengguna dengan lisensi ini dapat melakukan berbagai tugas seperti mencari kumpulan data layanan dengan beberapa kueri untuk mengungkapkan jenis file, data yang dikirimkan, nama file, negara, konten file, dll.
Bagaimana Peretasan Direncanakan?
Peneliti SafeBreach memutuskan untuk meretas VirusTotal untuk menentukan apakah penjahat dunia siber dapat mengeksploitasi layanan ini untuk mencuri kredensial.
Penelitian mereka didasarkan pada metode Google Hacking.
Peneliti mampu mengakses data sensitif milik 1.300 situs pemerintah dari 48 negara (Sumber: SafeBreach)
Metode ini digunakan oleh penjahat untuk memindai situs web yang rentan, web shell, perangkat internet of things, dan kebocoran data sensitif.
Peneliti mengungkapkan dalam laporan mereka bahwa sebagian besar pencuri informasi mengumpulkan kredensial dari berbagai platform seperti forum, browser, dan akun email, kemudian menuliskannya ke nama file yang dikodekan secara keras, misalnya: all_credentials.txt.
File ini kemudian dieksfiltrasi ke server C2 penyerang dari perangkat yang ditargetkan.
Tim peneliti SafeBreach menggunakan alat dan API VirusTotal seperti VirusTotal Graph, search dan Retrohunt untuk menemukan file yang berisi data curian.
Direktur penelitian keamanan SafeBreach, Tomer Bar, menyatakan bahwa ini adalah teknik yang cukup mudah untuk mencuri data dari VirusTotal.
“Ini adalah teknik yang cukup mudah dan tidak memerlukan pemahaman yang kuat tentang malware. Yang dibutuhkan hanyalah memilih salah satu pencuri info paling umum dan membacanya secara online.” Tomer Bar – SafeBreach
Malware yang Digunakan dalam Penelitian
Menurut laporan SafeBreach, peneliti menggunakan malware yang dikenal seperti Azorult, RedLine Stealer, Raccoon Stealer, dan Hawkeye dalam percobaan mereka.
Mereka juga menggunakan forum populer seperti Snatch_Cloud, DrDark untuk mengungkap data sensitif yang tersedia untuk penjahat di VirusTotal.
Selanjutnya, peneliti menggunakan VirusTotal Query untuk mencari biner yang diidentifikasi oleh mesin antivirus.
Kemudian, mereka mencari file yang berjudul DomainDetects.txt.
Ini adalah salah satu nama file yang dapat dieksfiltrasi oleh malware RedLine.
Mereka menerima ratusan file yang dieksfiltrasi sebagai imbalannya.
Setelah itu, mereka menggunakan VirusTotal Graph untuk menjelajahi dataset secara visual untuk menemukan file RAR yang berisi data eksfiltrasi milik sekitar 500 korban.
Termasuk 22.715 kata sandi dari situs web yang berbeda, file yang lebih besar dengan lebih banyak kata sandi, dan juga URL situs web terkait pemerintah.
Dibuktikan bahwa metode “VirusTotal hacking” bekerja dalam skala besar.
Seorang penjahat yang menggunakan metode ini dapat mengumpulkan jumlah kredensial yang hampir tidak terbatas dan data sensitif pengguna lainnya dengan hanya sedikit usaha dalam waktu singkat dengan pendekatan bebas infeksi.
“Kami menyebutnya kejahatan dunia siber yang sempurna, bukan hanya karena fakta bahwa tidak ada risiko dan upaya yang sangat rendah, tetapi juga karena ketidakmampuan korban untuk melindungi diri mereka dari aktivitas semacam ini.” Tomer Bar – SafeBreach
Tidak Ada Tindakan dari Google Mengenai Virustotal Hacking
Bar juga mengungkapkan bahwa perusahaan memberi tahu Google (karena anak perusahaan Google, Chronicle Security, memiliki VirusTotal) tentang temuan mereka dengan rekomendasi bahwa data sensitif di situs web harus segera dihapus.
Namun, setelah sebulan, Google berterima kasih kepada peneliti atas peringatan tersebut tetapi tidak menghapus data/file yang dilaporkan.
Oleh karena itu, pada saat penulisan, data yang dilaporkan masih dapat diakses oleh elemen jahat.
Recent Comments