Peretasan berbasis *sextortion*, yang membajak *webcam* korban atau memeras mereka dengan foto telanjang yang mereka dikelabui atau dipaksa untuk bagikan, sejak lama telah merepresentasikan salah satu bentuk kejahatan *cyber* yang paling mengganggu. Kini, satu spesimen *spyware* yang tersedia luas telah mengubah kejahatan yang relatif manual itu menjadi fitur otomatis; mendeteksi kapan pengguna sedang menjelajah pornografi di PC mereka, mengambil *screenshot*, dan mengambil foto spontan korban melalui *webcam* mereka.
Pada hari Rabu, para peneliti di firma keamanan Proofpoint mempublikasikan analisis mereka terhadap varian *open-source* dari *malware* “*infostealer*” yang dikenal sebagai Stealerium, yang menurut perusahaan telah digunakan dalam berbagai kampanye *cybercriminal* sejak Mei tahun ini. Seperti semua *infostealer*, *malware* ini dirancang untuk menginfeksi komputer target dan secara otomatis mengirimkan berbagai data sensitif yang dicuri kepada peretas, termasuk informasi perbankan, nama pengguna dan kata sandi, serta kunci ke *crypto wallet* korban. Namun, Stealerium menambahkan bentuk pengintaian yang lebih memalukan: Ia juga memantau *browser* korban untuk alamat web yang mengandung kata kunci NSFW tertentu, mengambil *screenshot* tab *browser* yang memuat kata-kata tersebut, memotret korban via *webcam* mereka saat sedang menonton halaman porno itu, dan mengirimkan semua gambar tersebut ke peretas — yang kemudian dapat memeras korban dengan ancaman akan menyebarluaskannya.
“Dalam hal *infostealer*, mereka biasanya mencari apa saja yang bisa mereka ambil,” ujar Selena Larson, salah satu peneliti Proofpoint yang mengerjakan analisis perusahaan tersebut. “Ini menambahkan lapisan lain dari invasi privasi dan informasi sensitif yang jelas-jelas tidak Anda inginkan berada di tangan seorang peretas tertentu.”
“Ini menjijikkan,” tambah Larson. “Aku benci ini.”
Proofpoint menyelidiki fitur-fitur Stealerium setelah menemukan *malware* tersebut dalam puluhan ribu email yang dikirim oleh dua grup peretas berbeda yang mereka lacak (keduanya operasi *cybercriminal* skala relatif kecil), serta sejumlah kampanye peretasan berbasis email lainnya. Anehnya, Stealerium didistribusikan sebagai alat *open source* gratis yang tersedia di Github. Pengembang *malware* tersebut, yang menggunakan nama *witchfindertr* dan mendeskripsikan dirinya sebagai “analis *malware*” yang berbasis di London, mencatat di halaman tersebut bahwa program ini hanya untuk “tujuan edukasi.”
“Bagaimana Anda menggunakan program ini adalah tanggung jawab Anda sendiri,” bunyi halaman tersebut. “Saya tidak akan bertanggung jawab atas aktivitas ilegal apa pun. Saya juga tidak peduli bagaimana kalian menggunakannya.”
Dalam kampanye peretasan yang dianalisis Proofpoint, para *cybercriminal* berusaha menipu pengguna untuk mengunduh dan menginstal Stealerium sebagai lampiran atau *link* web, memancing korban dengan umpan tipikal seperti pembayaran atau invoice palsu. Email-email tersebut menyasar korban di dalam perusahaan di industri *hospitality*, serta pendidikan dan keuangan, meskipun Proofpoint mencatat bahwa pengguna di luar perusahaan juga kemungkinan menjadi target namun tidak akan terlihat oleh alat pemantauannya.
Setelah terinstal, Stealerium dirancang untuk mencuri berbagai macam data dan mengirimkannya ke peretas melalui layanan seperti Telegram, Discord, atau protokol SMTP dalam beberapa varian *spyware*, yang semuanya relatif standar dalam *infostealer*. Para peneliti lebih terkejut melihat fitur *sextortion* otomatis, yang memantau URL *browser* untuk daftar istilah terkait pornografi seperti ‘*sex*’ dan ‘*porn*’, yang dapat dikustomisasi oleh peretas dan memicu pengambilan gambar secara simultan dari *webcam* dan *browser* pengguna. Proofpoint mencatat bahwa mereka belum mengidentifikasi korban spesifik dari fungsi *sextortion* tersebut, tetapi keberadaan fiturnya menunjukkan bahwa hal itu kemungkinan telah digunakan.