Penjahat memiliki banyak simpanan alat untuk mencuri informasi dari korban yang lengah. Dalam beberapa tahun terakhir, kasus Vidar Stealer makin bertambah. Malware khusus ini sangat efektif dalam menginfeksi perangkat secara senyap untuk mencuri berbagai informasi, lalu mengirimkannya kepada si penyerang.
Namun, apa itu Vidar Stealer, dan bagaimana cara kerja serangannya?
Apa itu Vidar Stealer?
Vidar Stealer—terkadang disebut sebagai Spyware Vidar—adalah sejenis malware yang menyerang perangkat serta mencuri informasi pribadi dan data dompet uang kripto dalam sistem perangkat. Namun, terkadang Vidar juga dimanfaatkan sebagai cara untuk mengirim ransomware ke perangkat.
Meski botnet Vidar telah ada sejak tahun 2018, asal muasalnya masih belum jelas. Dalam sebuah wawancara pada November 2023, para penulis menyatakan bahwa malware ini merupakan hasil pengembangan dari Trojan Arkei. Malware ini dioperasikan dalam bentuk layanan dan bisa dibeli langsung dari situs web pengembangnya di web gelap.
Malware Vidar sangat dikenal akan caranya memanfaatkan Command and Control Infrastructure (atau komunikasi C2). Biasanya dilakukan lewat jaringan media sosial, seperti Telegram dan Mastodon, dan akhir-akhir ini di Steam platform gaming sosial.
Bagaimana cara kerja Vidar Stealer?
Vidar biasanya memanfaatkan media sosial untuk infrastruktur C2-nya dan sebagai bagian dari proses. Sering kali, alamat profil jejaring sosial tertentu akan disematkan ke Malware Vidar, sehingga malware ini memiliki alamat IP C2 terkait dalam spesifikasinya. Dengan demikian, spyware ini bisa mengontrol profil, termasuk komunikasi dengan alamat IP, mengunduh berkas dan instruksi, dan bahkan menginstal lebih banyak malware.
Namun, karena botnet Vidar pada intinya adalah pencuri informasi, fungsi utamanya adalah mengumpulkan informasi sensitif dari perangkat yang terinfeksi dan mengirimkan data ini kepada si penyerang. Ada berbagai jenis informasi yang bisa dicuri Vidar, termasuk:
- Data sistem operasi
- Kredensial login
- Informasi kartu kredit atau bank
- Riwayat browser
- Cookie browser
- Perangkat lunak yang diinstal di perangkat
- Berkas yang diunduh
- Dompet uang kripto—khususnya, Exodus, Ethereum, MultiDoge, Atomic, JAXX, dan ElectronCash
- Tangkapan layar
- Kredensial FTP
Dalam beberapa kasus, saat Vidar dimanfaatkan untuk menginstal malware di sebuah perangkat, infrastruktur C2-nya digunakan untuk menentukan tautan ke tempat pengunduhan berkas terinfeksi, lalu mengaktifkannya. Sehingga penyerang bisa mengakses perangkat tersebut, dan memanfaatkannya untuk kepentingan mereka, atau menjualnya di web gelap kepada penjahat siber lain.
Setelah terunduh di perangkat, beberapa cara akan dimanfaatkan supaya tidak terdeteksi. Sering kali, Vidar Stealer akan memanfaatkan berkas program berukuran besar supaya terhindar dari pendeteksian pemindai antivirus. Melalui analisis mendalam, para pakar telah menemukan bahwa sampel Vidar mengandung null byte di akhir berkasnya (atau angka nol di akhir berkas .exe), yang menambah ukuran berkas secara tidak wajar. Karena ukuran berkasnya sangat besar, yang sering kali melebihi batas kemampuan pendeteksian perangkat lunak anti-malware, sehingga analisis berkas tersebut dilewatkan. Selain itu, berkas Vidar sering memanfaatkan enkode dan enkripsi string supaya lebih sulit dianalisis oleh perangkat lunak pelindung. Termasuk memanfaatkan berkas yang telah diautentikasi dengan sertifikat digital yang kedaluwarsa.
Setelah menginfeksi perangkat tertentu dan mencuri informasinya sebanyak mungkin, trojan Vidar memampatkan semua data ini ke sebuah berkas ZIP dan mengirimkannya ke server perintah. Malware ini kemudian menghancurkan diri dan menghapus semua jejak keberadaannya di sistem perangkat. Jadi, penyelidikan terhadap serangan Malware Vidar sangat sulit dilakukan.
Bagaimana cara Vidar menyebar?
Malware Vidar hampir semuanya disebarkan melalui email spam. Pada umumnya, calon korban menerima email yang tidak diharapkan — tetapi terlihat tidak berbahaya — yang menyerupai faktur pembelian online atau konfirmasi perpanjangan masa berlangganan. Email ini biasanya memiliki lampiran, yang mengarahkan calon korban membukanya untuk mengetahui informasi lebih lanjut. Namun, Malware Vidar telah diselipkan di lampiran tersebut yang jika dibuka oleh calon korban, malware akan disebarkan.
Biasanya lampiran tersebut berupa dokumen Microsoft Office yang menggunakan skrip makro. Jadi, setelah dokumennya dibuka, pengguna akan diminta untuk menjalankan makro. Setelah itu, perangkat akan terhubung ke server malware dan mengaktifkan pengunduhan Vidar Stealer. Untuk mengurangi risiko serangan Malware Vidar, Microsoft mengubah cara menjalankan perintah makronya.
Namun, penjahat siber cukup mencari cara lain untuk menyebarkan trojan Vidar. Yaitu:
- Lampiran berkas ISO: Malware Vidar juga bisa dikirim sebagai lampiran berkas ISO lewat email, seperti berkas Microsoft Compiled HTML Help (CHM) yang terinfeksi dan program "app.exe", yang mengaktifkan malware jika lampirannya dibuka
- Arsip .zip: Pada kasus tertentu, penyerang menyamar sebagai merek fesyen H&M untuk mengirimkan email phishing yang mengarahkan penerimanya ke sebuah folder Google Drive, tempat di mana mereka harus mengunduh arsip .zip untuk mengakses kontrak dan informasi pembayaran. Kemudian berkas ini melancarkan serangan Vidar Stealer dari sana.
- Program penginstal palsu: Penyerang bisa menyelipkan Spyware Vidar ke program palsu untuk menginstal perangkat lunak sah yang bisa diunduh pengguna — seperti Adobe Photoshop atau Zoom — dan mengirimkannya kepada calon korban dalam bentuk lampiran di email spam
- Iklan Google Search: Baru-baru ini, salah satu cara paling umum untuk menyebarkan Vidar adalah melalui iklan Google Search yang menyelipkan malware dalam skrip mereka. Si penyerang membuat Google Ads yang sangat mirip program yang berasal dari penerbit perangkat lunak sah. Jika pengguna yang lengah mengunduh perangkat lunak ini dan menjalankannya, malware akan aktif dan menginfeksi perangkat mereka.
- Keterkaitan dengan Ransomware: Dalam beberapa kasus, botnet Vidar telah melancarkan serangan yang berhubungan dengan berbagai jenis ransomware, seperti STOP/Djvu dan GandCrab, atau malware seperti PrivateLoader dan Smoke. Dalam serangan yang sangat berbahaya ini, dua malware telah disebarkan sekaligus, sehingga menimbulkan infeksi, pencurian data dalam skala yang lebih luas — dan masalah bagi pengguna yang perangkatnya terinfeksi.
Cara melindungi diri dari Vidar Stealer: 5 kiat penting
Vidar Stealer tidak hanya mencuri data dan informasi sistem pengguna, tetapi juga bisa dimanfaatkan untuk mengirim lebih banyak jenis malware. Oleh sebab itu, individu dan organisasi perlu mengambil langkah-langkah supaya terhindar dari kemungkinan serangan trojan Vidar. Berikut lima langkah pencegahan yang bermanfaat:
- Gunakan perangkat lunak antivirus dan pelindung web yang memantau ancaman siber semacam ini dan bisa melumpuhkannya.
- Gunakan solusi keamanan email untuk memindai semua email yang masuk dan memblokir pesan yang mungkin mencurigakan.
- Ingat praktik terbaik untuk kata sandi, termasuk penggunaan pengelola kata sandi, membuat kata sandi yang rumit, dan menggantinya secara berkala.
- Selalu perbarui semua perangkat lunak dan sistem operasi untuk menggunakan patch keamanan terbaru.
- Jalankan pemindaian penuh sistem komputer secara berkala untuk mencari Spyware Vidar atau infeksi lain yang belum terdeteksi dan menghapusnya.
Langkah-langkah ini perlu menjadi bagian dari strategi yang lebih besar untuk memerangi potensi pelanggaran keamanan dan aktivitas berbahaya, termasuk menggunakan Jaringan Pribadi Virtual (VPN) untuk menyembunyikan alamat IP perangkat dan mengenkripsi semua aktivitas online.
Vidar Stealer: Ancaman tetap
Malware Vidar merupakan spyware yang sangat teknis. Meski sering kali dimulai dari email spam, iklan, perangkat lunak yang di-crack, atau sarana lain, serangan semacam ini lebih jahat mengingat banyaknya informasi yang bisa dicuri Vidar. Sehingga si penyerang mendapatkan banyak sekali informasi untuk melakukan kejahatan lain—atau menjualnya di web gelap. Namun, dengan terus mengingat praktik terbaik keamanan internet dan email dasar, kita bisa memperkecil ancaman Vidar dan keberhasilan serangan semacam ini.
Dapatkan Kaspersky Premium + GRATIS 1 TAHUN Kaspersky Safe Kids. Kaspersky Premium telah menerima lima penghargaan AV-TEST untuk perlindungan terbaik, kinerja terbaik, VPN tercepat, kontrol orang tua yang disetujui untuk Windows, dan peringkat terbaik untuk kontrol orang tua di Android.
Artikel dan Tautan Terkait:
- Bagaimana cara menyingkirkan malware?
- Perlindungan dari ransomware: Cara menjaga keamanan data pada tahun 2024
- Menghapus ransomware: Mendekripsi data – cara membunuh virus
- Deteksi malware dan eksploitasi
Produk dan Layanan Terkait: