Peneliti dari Trusteer, perusahaan keamanan IT baru saja diakuisisi oleh IBM, telah menemukan sebuah varian baru dari malware Ramnit terkenal. Konfigurasi ini baru ancaman yang sedang digunakan untuk mencuri data sensitif dari pengguna Steam.
Menurut para ahli, Ramnit menggunakan injeksi HTML untuk mencapai tujuannya. Malware ini mampu tidak hanya melewati enkripsi password situs, tetapi juga untuk memastikan serangan itu tidak terdeteksi oleh server yang ditargetkan.
Pada tahap pertama serangan, Ramnit menyuntikkan permintaan password ketika pengguna mengakses halaman login Uap dan masukkan identitasnya. Permintaan ini memungkinkan ancaman untuk memotong enkripsi sisi klien dan mendapatkan password dalam teks yang jelas.
Masalah dengan teknik ini adalah bahwa password dicatat dalam elemen baru berlabel "pwd2." Karena server uap tidak mengharapkan untuk menerima ini elemen ketika formulir dikirimkan, kemungkinan bahwa alarm akan dipicu dan upaya jahat akan dideteksi.
Untuk mencegah hal ini, Ramnit dirancang untuk menghapus elemen disuntikkan tepat sebelum formulir dikirim ke situs web.
Para peneliti mengatakan ada penjelasan yang masuk akal tentang mengapa malware menyuntikkan elemen dan kemudian menghapusnya.
"Jawabannya sederhana: dengan menggunakan formulir meraih, para cybercriminal dapat dengan mudah indeks data yang dikumpulkan. Ketika keylogger digunakan, tidak ada indikasi yang karakter adalah username, password yang dan mana yang hanya keystrokes relevan - bukan seseorang perlu secara manual memisahkan gandum dari sekam, "kata Trusteer yang Etay Maor.
Dalam kebanyakan serangan terhadap pelanggan Uap, cybercriminal mengandalkan phishing dan mencuri informasi malware. Namun, ini varian Ramnit canggih menunjukkan bahwa mereka selalu mempersiapkan teknik baru untuk selangkah lebih maju.
0komentar:
Post a Comment