Cheana Stealer: Malware Phishing yang Menyasar Pengguna VPN

Dalam era digital yang semakin canggih, serangan siber menjadi ancaman yang kian nyata. Baru-baru ini, para peneliti keamanan siber menemukan kampanye phishing berbahaya yang dikenal dengan nama Cheana Stealer. Kampanye ini memanfaatkan situs phishing yang meniru tampilan layanan VPN sah, yaitu WarpVPN, untuk mengelabui pengguna agar mengunduh aplikasi VPN yang berbahaya. Tidak hanya menargetkan satu jenis sistem operasi, Cheana Stealer menunjukkan kemampuannya dengan menyerang berbagai sistem operasi, termasuk Windows, Linux, dan macOS.

Taktik dan Teknik Kampanye Cheana Stealer

Cheana Stealer dikenal sebagai kampanye phising yang telah dieksekusi dengan sangat rapi dan canggih. Para penyerang membuat situs phising yang sangat menyerupai layanan WarpVPN yang asli, hal menarik perhatian pengguna yang sedang mencari layanan VPN gratis atau murah. Situs ini menyajikan tampilan yang meyakinkan dan bahkan menyediakan instruksi pemasangan yang tampaknya sah untuk berbagai sistem operasi.

Upaya ini tidak sembarangan, para penyerang telah mengembangkan versi binari Cheana Stealer yang berbeda-beda untuk setiap sistem operasi yang mereka targetkan. Hal ini menunjukkan bahwa niat mereka untuk memaksimalkan jangkauan serangan dan meningkatkan peluang sukses pencurian data.

Cara Kerja Cheana Stealer di Berbagai Platform

Menurut laporan dari Cyble Research and Intelligence Lab (CRIL), Cheana Stealer mengandalkan berbagai metode distribusi untuk menargetkan pengguna di sistem operasi yang berbeda:

1. Windows: Untuk pengguna Windows, Cheana Stealer disebarkan melalui script PowerShell yang menjalankan file batch bernama install.bat. Skrip ini akan memeriksa keberadaan Python di sistem korban. Jika Python tidak ditemukan, skrip ini akan menginstal Python bersama dengan alat-alat seperti pip dan virtualenv. Setelah itu, skrip ini mengunduh dan menginstal paket Python berbahaya bernama hclockify-win, yang dirancang khusus untuk mencuri informasi sensitif seperti data peramban, ekstensi dompet kripto, dan kata sandi yang tersimpan.
2. Linux: Pada sistem Linux, Cheana Stealer didistribusikan melalui perintah curl yang mengunduh skrip bernama install-linux.sh. Skrip ini mengambil ID unik untuk tujuan pelacakan dan mengumpulkan data sensitif, termasuk informasi peramban, detail dompet kripto, dan kunci SSH. Semua data ini kemudian dikirim ke server penyerang, memberikan mereka akses yang luas ke informasi pribadi pengguna.
3. macOS: Pengguna macOS tidak luput dari serangan ini. Cheana Stealer menggunakan skrip install.sh untuk mengecoh pengguna agar memasukkan kredensial mereka. Skrip ini mengumpulkan data login dari peramban, kata sandi macOS, dan informasi Keychain. Data ini kemudian dikirim ke server command and control (C&C) milik penyerang, yang digunakan untuk mengelola dan mengontrol operasi malware ini.

Peran Saluran Telegram dalam Kampanye

Kampanye Cheana Stealer tidak hanya mengandalkan situs phising saja. Mereka juga memanfaatkan saluran Telegram yang memiliki lebih dari 54.000 pelanggan. Saluran ini telah ada sejak tahun 2018 dan mengalami beberapa kali pergantian operator. Pada tahun 2021, saluran ini mulai menyebarkan situs phishing ke dalam biodatanya, menggunakan taktik ini untuk membangun kepercayaan pengguna.

Awalnya, saluran Telegram ini menawarkan layanan VPN gratis, yang berfungsi sebagai umpan untuk menarik pengguna. Setelah mendapatkan basis pengguna yang cukup besar, mereka beralih untuk mempromosikan situs phishing, memanfaatkan kepercayaan yang telah terbentuk untuk menyebarkan Cheana Stealer.

Strategi Teknis di Balik Serangan

Situs phishing yang digunakan dalam kampanye Cheana Stealer dirancang untuk terlihat seperti penyedia layanan VPN sah. Petunjuk pemasangan yang diberikan juga dirancang sedemikian rupa untuk menipu pengguna. Versi malware yang berbeda disesuaikan untuk setiap sistem operasi, memastikan bahwa serangan tetap efektif dan sulit terdeteksi.

Setelah data sensitif dikumpulkan, Cheana Stealer mengoperasikannya dalam file ZIP dan mengirimkannya melalui protokol HTTPS ke server penyerang. Penggunaan HTTPS membantu menjaga keamanan data selama transmisi dan membuat deteksi oleh alat keamanan menjadi lebih sulit.

Strategi Mitigasi

Melihat kompleksitas dan kecanggihan kampanye Cheana Stealer, penting bagi pengguna untuk meningkatkan kewaspadaan dan menerapkan langkah-langkah keamanan yang kuat. Berikut beberapa langkah mitigasi yang disarankan:

• Unduh Aplikasi dari Sumber Terpercaya: Selalu pastikan untuk mengunduh aplikasi VPN atau perangkat lunak lain dari situs resmi atau sumber terpercaya untuk menghindari versi berbahaya.
• Peningkatan Kesadaran Pengguna: Kampanye kesadaran keamanan siber dapat membantu pengguna mengenali upaya phishing dan memverifikasi keabsahan layanan yang mereka gunakan.
• Solusi Proteksi Titik Akhir: Menggunakan solusi proteksi titik akhir tingkat lanjut dapat membantu mendeteksi dan memblokir skrip berbahaya sebelum mereka dapat menimbulkan kerusakan.
• Pemantauan Lalu Lintas Jaringan: Menggunakan alat keamanan untuk memantau lalu lintas jaringan dapat membantu mencegah komunikasi dengan server C&C yang diketahui, menambahkan lapisan pertahanan lainnya.
• Aktifkan Multi-Factor Authentication (MFA): Mengaktifkan MFA dapat memberikan lapisan keamanan ekstra, mengurangi risiko akses yang tidak sah meskipun kredensial pengguna dibobol.
• Rencana Tanggap Insiden: Memiliki rencana tanggap insiden yang dikembangkan dengan baik sangat penting untuk menghadapi dan menangani infeksi malware dengan cepat dan efektif.

Kampanye Cheana Stealer adalah contoh nyata dari bagaimana penyerang siber dapat mengeksploitasi kepercayaan pengguna dengan menyamar sebagai layanan VPN yang sah. Dengan menyasar berbagai sistem operasi dan memanfaatkan saluran Telegram, kampanye ini menunjukkan betapa canggih dan berbahayanya serangan phishing modern. Menghadapi ancaman semacam ini, peningkatan kesadaran dan penerapan langkah-langkah keamanan yang kuat adalah kunci untuk melindungi diri dari serangan siber yang semakin kompleks.