Jangan Asal Buka Peta Infeksi Virus Corona, Ada Malware
Reporter
Moh Khory Alfarizi
Editor
Zacharias Wuragil
Jumat, 13 Maret 2020 14:13 WIB
TEMPO.CO, Jakarta - Cybersecurity baru-baru ini merilis laporan analisis ancaman yang merinci serangan baru memanfaatkan meningkatnya keinginan pengguna internet mengakses informasi tentang virus corona COVID-19. Serangan malware secara khusus menarget mereka yang mencari informasi peta penyebaran COVID-19.
Para penjahat siber alias hacker akan menipu mereka dengan meminta mengunduh dan menjalankan aplikasi jahat berkedok peta itu. Aplikasi dibuat seakan dari sumber sah tapi ditanam malware di dalamnya.
Ancaman terbaru ini pertama kali ditemukan MalwareHunterTeam minggu lalu dan sekarang dianalisis oleh Shai Alfasi, peneliti keamanan siber di Reason Labs. "Serangan melibatkan malware yang diidentifikasi sebagai AZORult, perangkat lunak berbahaya pencuri informasi yang ditemukan pada 2016," ujar Alfasi seperti dikutip dari The Hacker News.
Malware AZORult mengumpulkan informasi yang disimpan di browser web, terutama cookie, riwayat penelusuran, ID pengguna, kata sandi, dan bahkan kunci mata uang digital. Dengan mencurinya dari browser memungkinkan hacker untuk mencuri nomor kartu kredit, login rahasia, dan berbagai informasi sensitif lainnya.
AZORult dilaporkan dibahas di forum-forum rahasia Rusia sebagai alat untuk mengumpulkan data sensitif dari komputer. Dia biasanya muncul dengan varian yang mampu menghasilkan akun administrator tersembunyi di komputer yang terinfeksi untuk mengaktifkan koneksi melalui protokol desktop jarak jauh.
Alfasi memberikan rincian teknis malware yang tertanam dalam file biasanya dinamai Corona-virus-Map.com.exe, file Win32 EXE kecil dengan ukuran payload hanya sekitar 3,26 MB. Ketika mengklik dua kali file membuka jendela, yang ditampilkan adalah berbagai informasi tentang penyebaran COVID-19.
Pusatnya adalah "peta infeksi" yang mirip dengan peta sebaran yang digarap oleh Johns Hopkins University, sumber daring sah yang memvisualisasikan dan melacak kasus virus corona secara real time. Jumlah kasus yang dikonfirmasi di berbagai negara disajikan di sisi kiri sementara statistik tentang kematian dan pemulihan ada di sebelah kanan.
Jendela tersebut tampaknya interaktif, dengan tab untuk berbagai informasi terkait lainnya dan tautan ke sumber. Tampilan graphical user interface (GUI) yang disajikan meyakinkan dan tidak banyak akan dicurigai bahwa itu berbahaya.
Informasi yang disajikan pun bukan merupakan penggabungan data acak, melainkan informasi COVID-19 aktual yang dikumpulkan dari situs web Johns Hopkins. Sebagai catatan, peta asli yang di-host secara online oleh Johns Hopkins University atau ArcGIS tidak menginfeksi atau diakses melalui cara apa pun dan aman untuk dikunjungi.
Perangkat lunak berbahaya menggunakan beberapa lapisan pengemasan, dengan teknik multi-sub-proses yang diresapi untuk membuatnya menantang bagi para peneliti yang mendeteksi dan menganalisis. Selain itu, mempekerjakan pertugas yang terjadwal sehingga dapat terus beroperasi.
Tanda-tanda perangkat yang terinfeksi adalah, ketika menjalankan Corona-virus-Map.com.exe akan menghasilkan duplikat file Corona-virus-Map.com.exe dan beberapa lainnya Corona.exe, Bin.exe, Build.exe, dan Windows.Globalization.Fontgroups. file exe. Selain itu, malware memodifikasi beberapa register di bawah ZoneMap dan LanguageList. Beberapa mutex juga dibuat.
Eksekusi malware mengaktifkan proses berikut: Bin.exe, Windows.Globalization.Fontgroups.exe, dan Corona-virus-Map.com.exe. Upaya ini untuk terhubung ke beberapa URL. Proses dan URL ini hanyalah contoh dari apa yang diperlukan serangan itu. Ada banyak file lain yang dihasilkan ketika proses dimulai.
Mereka menciptakan berbagai aktivitas komunikasi jaringan ketika malware mencoba mengumpulkan berbagai jenis informasi. Lalu, bagaimana serangan itu dapat mencuri informasi? Alfasi menyajikan akun terperinci tentang bagaimana ia membedah malware dalam postingan blog-nya bernama Reason Security.
Satu detail utama adalah analisisnya tentang proses Bin.exe dengan Ollydbg. Dengan demikian, proses menulis beberapa kode yang sudah dikompilasi dan dapat digunakan oleh program lain-- dynamic link libraries (DLL). DLL "nss3.dll" menarik perhatiannya karena itu adalah sesuatu yang ia kenali dari aktor yang berbeda.
Alfasi juga mengamati pemuatan statis API yang terkait dengan nss3.dll. API ini muncul untuk memfasilitasi dekripsi kata sandi yang disimpan. Ini adalah pendekatan umum yang digunakan oleh pencuri data. Relatif sederhana, ini hanya menangkap data login dari browser web yang terinfeksi dan memindahkannya ke folder C: \ Windows \ Temp.
Itu salah satu keunggulan serangan AZORult, di mana malware mengekstrak data, menghasilkan ID unik komputer yang terinfeksi, menerapkan enkripsi XOR, kemudian memulai komunikasi C2. Malware membuat panggilan tertentu dalam upaya untuk mencuri data masuk dari akun online umum seperti Telegram dan Steam.
Untuk menekankan, eksekusi malware adalah satu-satunya langkah yang diperlukan untuk melanjutkan dengan proses pencurian informasi. Korban tidak perlu berinteraksi dengan jendela atau memasukkan informasi sensitif di dalamnya.
THE HACKER NEWS | MALWARE HUNTER TEAM