Cyberthreat.id – Perangkat lunak jahat (malware) pencuri informasi (infostealer) disebarkan oleh peretas jahat melalui tautan di deskripsi YouTube.

“Peretas menyamarkan malware sebagai cheat untuk game Valorant,” tulis tim analis malware ASEC, bagian dari perusahaan keamanan siber Korea Selatan, Ahnlab, di blog perusahaan, Jumat (11 Maret 2022).

Valorant adalah game menembak gratis untuk Windows, mirip halnya Counter Strike: Global Offensive, yang dikembangkan oleh Riot Games yang mempopulerkan League of Legends (LOL).

Ketika pengguna mengklik tautan yang disediakan di deskripsi video YouTube, halaman unduhan ditampilkan (hxxps://anonfiles[.] com/J0b03cKexf).

 File “cheat” ini ditaruh di platform berbagi file anonim, Anonfiles. File berbentuk .rar tersebut berukuran 104,29 kilobita (KB) dengan alamat URL unduhan hxxps://cdn-149.anonfiles[.] com/J0b03cKexf/bfb807d9-1646204724/Pluto%20Valornt%20cheat.rar.

Ketika file terkompresi bernama “Cheat Pluto Valornt.rar” diunduh, isinya terdapat file yang bisa dieksekusi (.exe) dengan nama “Cheat installer.exe”.

“Tampaknya cheat game, tapi itulah infostealer jenis RedLine,” tulis tim ASEC.

Sumber: ASEC

Ketika file itu dijalankan, malware mengumpulkan informasi dasar dari sistem yang terinfeksi serta berbagai kredensial pengguna seperti tangkapan layar, kredensial akun pengguna yang disimpan ke peramban web dan program klien VPN, file dompet cryptocurrency, token Discord, dan file sesi Telegram.

Berikut ini adalah daftar target yang akan dicuri berdasarkan analisis tim ASEC:

• Informasi dasar: nama komputer, nama pengguna, alamat IP, versi Windows, informasi sistem (CPU, GPU, RAM, dll.), Dan daftar proses.
• Broswer web: peramban web yang ditargetkan Chrome, Edge, dan Firefox. Informasi yang dicuri: kata sandi, nomor kartu kredit, formulir IsiOtomatis, bookmark, dan cookie.
• File dompet cryptocurrency: Armory, AtomicWallet, BitcoinCore, Bytecoin, DashCore, Electrum, Ethereum, LitecoinCore, Monero, Exodus, Zcash, dan Jaxx.
• Kredensial akun klien VPN: daftar klien VPN yang ditargetkan: ProtonVPN, OpenVPN, dan NordVPN. Informasi yang dicuri: kredensial akun.
• Lainnya: FileZilla, informasi yang ditargetkan: alamat host, nomor port, nama pengguna, dan kata sandi. Minecraft VimeWorld: kredensial akun, level, peringkat, dll. Steam: informasi sesi klien. Telegram: informasi sesi klien. Discord: informasi token.

Setelah mengumpulkan informasi yang dicuri, RedLine mengumpulkan dalam file terkompresi bernama “().zip”. Selanjutnya, mengirimkan file tersebut melalui Discord WebHooks API.

“Menggunakan API WebHook memungkinkan malware untuk mengirim data dan pemberitahuan ke server Discord tertentu,” tulis tim ASEC.

Peneliti menyarankan agar tak terinfeksi RedLine, pengguna sebaiknya untuk tidak gegabah atau menahan diri dari mengunduh program ilegal meski tampaknya itu menggiurkan untuk bermain game. Terlebih, cheat untuk sebuah game, memang kebanyakan adalah malware. Selain itu, lebih baik memakai perangkat lunak asli setiap saat.[]