Sebuah operasi untuk membungkam Liberpy dilakukan setelah teridentifikasi adanya penyebaran email bermuatan malware. 2000an user yang tertipu karena mengklik link, atau membuka attachment tidak hanya menjadi botnet, tetapi juga jadi vector penyebar lewat perangkat USB.
Hasil monitoring yang dilakukan ESET LiveGrid ditemukan executable program yang secara virtual memiliki nama yang sama “Liberty1-0.exe“, tapi terdeteksi sebagai Python/Spy.Keylogger.G,
Sebagai analisa awal, Liberty1-0.exe atau Python/Spy.Keylogger.G, keylogger yang mampu menghindar dari system keamanan, kemudian melaporkan semua aktifitas pengetikan pada keyboard dan pergerakan mouse ke sebuah server yang dikendalikan oleh pelaku. Threat tersebut dianggap sebagai varian pertama yang muncul pada pertengahan Agustus 2014, yang memberikan petunjuk penting tentang asal-muasal penyebaran email.
ESET Live Grid mencatat ada 98% deteksi threats ini di wilayah Venezuela, dan dari kata dan bahasa yang digunakan yakni Bahasa Spanyol, ESET meyakini bahwa malware yang termuat di attachment email ditujukan untuk user di Venezuela. Sedangkan tujuan utama dari aksi penyebaran tersebut adalah untuk mendapatkan data yang tersimpan dikomputer user.
Liberpy sendiri adalah botnet berbasis HTTP yang beraksi mencuri data dan informasi milik user yang tersimpan di komputer. Modus penyebaran via media USB dan hingga kini sudah lebih dari 2000 komputer dari berbagai varian system operasi Windows terinfeksi dalam waktu beberapa bulan.
Proses menyebarnya Liberpy biasanya melalui beberapa proses sebagai berikut –
- Pelaku melancarkan penyebaran malware dengan menyebarkan email palsu secara masif.
- User yang menerima email tersebut lalu mengklik link yang termuat di email, dimana sebenarnya ketika link diklik maka software yang termuat didalam executable file akan terinstall kedalam system secara otomatis.
- System yang terinfeksi akan mulai mengirimkan informasi ke pelaku.
- Ketika user menggunakan USB disistem yang terinfeksi Liberpy, maka USB akan juga akan terinfeksi kemudian malware akan menyembunyikan diri didalam sebuah hidden folder, bersama-sama dengan file-file lain milik user yang tersimpan di USB.
- Jika user menggunakan USB yang sudah terinfeksi tersebut ke komputer lain, dan user membuka file di USB, maka Liberpy akan leluasa masuk kemudian menginfeksi system komputer tersebut, dan saat itu juga mekanisme pencurian informasi dan penyebaran zombie ke system baru akan mulai diaktifasi.
lihat infografi skema penyebaran berikut ini.
Pelaku serangan tidak hanya mengandalkan email palsu yang disebarkan. Liberpy juga menggunakan teknik lain yang serupa dengan yang digunakan oleh malware lain seperti Win32/Dorkbot, JS/Bondat and VBS/Agent.NDH untuk menginfeksi system. Mekanisme penyebaran malware dilakukan dengan menyembunyikan semua file yang ada di USB, dan mengganti file-fie tersebut dengan icon shortcut dimana sebenarnya cara tersebut sangat umum terjadi di wilayah Venezuela sejak tahun 2011, dan USB masih menjadi salah satu vector utama penyebaran malware.
Tujuan utama aksi Liberpy menginfeksi system komputer adalah untuk mendapatkan data pribadi milik user yang tersimpan di komputernya seperti username, password, data login perbankan online dan data kartu kredit. Data ditemukan setelah dilakukan analisa pada data hasil deteksi di ESET Live Grid selama periode antara Agustus 2014 hingga May 2015. Secara geografis penyebaran Liberpy bisa dilihat pada data berikut ini:
Sebaran bot Liberpy berdasarkan record ESET LiveGrid
Setelah penelitian dan analisa terhadap operasional pelaku dilakukan, maka aksi pemberangusan kemudian dilakukan bekerjasama dengan petugas keamanan dan penegak hukum setempat, hingga jaringan kejahatan cyber benar-benar bisa dibongkar. Aksi tersebut memberi ruang bagi ESET untuk ikut terlibat dalam upaya membongkar kasus kejahatan cyber. Selain itu juga membantu solusi terhadap user yang terinfeksi, dan lebih jauh lagi, bisa memahami pola operasi mekanisme kejahatan cyber, sehingga bisa membantu lebih banyak perusahaan dan user agar dapat menikmati teknologi internet secara lebih baik.
Yudhi Kukuh, Technical Consultant PT. Prosperita-ESET Indonesia menambahkan, “Upaya infiltrasi melalui pengiriman email palsu yang memuat attachment berisi malware maupun link ke situs bermalware menjadi trending belakangan ini. Modus tersebut juga digunakan untuk penyebaran Filecoder/Cryptolocker di Indonesia. Oleh sebab itu,sangat dianjurkan bagi user untuk lebih waspada jika mendapatkan email dari alamat yang tidak dikenal dan terdapat attachment di dalamnya, ataupun email dari seseorang yang kita kenal tetapi linknya mencurigakan, jangan ambil resiko. Delete saja agar kita terhindar dan tidak menjadi Bot, atau hubungi pengirim dan tanyakan apakah link-attachment aman atau tidak. Untuk pengguna mail client, seperti Windows Live Mail, Thunderbird atau Outlook, gunakan Antivirus yang sudah terintegrasi sehingga setiap email masuk otomatis akan discan”
Dengan mempelajari perilaku, aksi, teknik, dan metode serangan yang digunakan oleh pelaku serangan kejahatan cyber, adalah sebagian yang dilakukan ESET LiveGrid beserta team peneliti malware untuk membantu agar user bisa tetap waspada, mampu mengidentifikasi threats, akhirnya melindungi system yang digunakan.
