Salat Stealer—juga dikenal sebagai WEB_RAT—adalah malware pencuri informasi berbasis Go yang dijual dengan model layanan (Malware-as-a-Service/MaaS), sehingga mudah digunakan pelaku kejahatan siber untuk menargetkan pengguna dan organisasi lintas sektor. Malware ini fokus mencuri kredensial browser, cookie, data dompet kripto, serta informasi sesi yang bisa dipakai untuk pengambilalihan akun dan penyusupan lanjutan.

Ringkasan singkat

• Dikembangkan dan dipasarkan dengan model MaaS, terutama di komunitas penjahat siber penutur bahasa Rusia, sehingga skalanya cepat membesar.

• Menyamar sebagai proses sistem “seolah-olah” legit, serta memakai teknik persistensi dan pengelakan canggih agar bertahan lama di perangkat korban.

• Data yang dicuri dimonetisasi di pasar gelap atau dipakai untuk intrusi berikutnya (akun diambil alih, pencurian finansial, hingga akses ke jaringan internal).

Teknik dan penyebaran

• Persistensi: membuat entri di Registry Run keys dan scheduled tasks agar aktif lagi setelah restart.

• Evasion: memakai packing UPX, proses penyamaran (masquerading), dan menambahkan pengecualian di Windows Defender untuk melemahkan pertahanan.

• Arsitektur: ditulis dalam Go untuk portabilitas dan kemudahan modifikasi; komunikasi C2 modular dengan kanal terenkripsi dan payload terenkode.

• Infrastruktur: hosting terdesentralisasi dengan server yang sering berganti, menyulitkan pemutusan kampanye.

Data yang diincar

• Kredensial dan autofill yang tersimpan di browser (kata sandi, cookie, token sesi).

• Dompet kripto dan ekstensi wallet, yang memungkinkan pengalihan dana atau pencurian kunci.

• Informasi sesi dari aplikasi populer yang membuka peluang takeover akun.

Dampak bagi pengguna dan organisasi

• Pengambilalihan akun penting (email, keuangan, kripto), potensi kerugian finansial, dan penyebaran ke layanan lain lewat sesi yang dibajak.

• Eksfiltrasi data sensitif dan pijakan awal untuk serangan lanjutan ke jaringan perusahaan.

• Kompleksitas deteksi meningkat karena kombinasi obfuscation, penyamaran proses, dan modifikasi kebijakan Defender.

Indikator taktis (MITRE ATT&CK) yang relevan

• Eksekusi: T1059 (Command and Scripting Interpreter)

• Persistensi: T1547.001 (Registry Run Keys/Startup)

• Defense Evasion: T1027 (Obfuscated Files), T1562.001 (Impair Defenses), T1036.005 (Masquerading)

• Credential Access: T1555.003 (Browser Password Stores)

• C2: T1071.001 (Web Protocols)

• Eksfiltrasi: T1041 (Over C2 Channel), T1048.002 (Asymmetric Encrypted Non-C2)

Status pemantauan

• Berdasarkan IoC yang tersedia, saat ini tidak ditemukan kecocokan pada endpoint pelanggan yang diperiksa.

Rekomendasi cepat

• Terapkan prinsip least privilege dan perketat kebijakan eksekusi, termasuk pembatasan installer dari sumber tidak tepercaya.

• Aktifkan dan kunci Tamper Protection; audit rutin daftar pengecualian Windows Defender.

• Pantau perubahan Registry Run keys dan scheduled tasks; gunakan EDR dengan deteksi perilaku.

• Edukasi pengguna agar waspada terhadap unduhan “cracked”/repositori palsu dan umpan sosial (YouTube, cloud drive, dll.).

• Terapkan MFA di akun penting, rotasi kredensial bila ada indikasi kebocoran, dan pantau aktivitas login tidak wajar.

Sumber

• SecurityOnline.info: “Salat Stealer: A New Go-Based MaaS Is Hijacking Browsers and Crypto Wallets” — https://securityonline.info/salat-stealer-a-new-go-based-maas-is-hijacking-browsers-and-crypto-wallets/