Image credit: Freepix
PDF Beracun Ancam Data Pribadi – Kembali masyarakat digital dunia diguncang oleh penemuan ancaman tingkat tinggi yang menargetkan salah satu aplikasi dokumen paling populer di dunia, Adobe Reader.
Sebuah eksploitasi zero-day yang sangat canggih dan belum memiliki tambalan (unpatched) ditemukan sedang aktif mengincar pengguna untuk mencuri data lokal serta melakukan pemindaian sistem secara mendalam.
Ancaman ini pertama kali dideteksi oleh sistem perburuan ancaman, EXPMON. Serangan ini tergolong sangat berbahaya karena bekerja dengan mulus pada versi terbaru Adobe Reader.
Dan tidak memerlukan interaksi rumit dari pengguna cukup dengan membuka dokumen PDF yang telah dimodifikasi, serangan langsung bekerja.
|
Baca juga: Jebakan Tanda Tangan Phising Docusign |
Anatomi Serangan
Serangan dimulai saat korban membuka file PDF berbahaya (salah satu sampel yang ditemukan bernama “yummy_adobe_exploit_uwu.pdf”).
Meskipun awalnya memiliki tingkat deteksi yang rendah pada mesin pemindai antivirus tradisional, sistem analitik perilaku tingkat lanjut dari EXPMON berhasil menangkap aktivitas mencurigakan di dalam mesin Acrobat JavaScript.
Untuk menyembunyikan niat jahatnya, pelaku menggunakan pengodean Base64 guna menyisipkan skrip inti di dalam objek PDF yang tersembunyi.
Setelah skrip tersebut dijalankan, eksploitasi ini menyalahgunakan kerentanan yang belum diperbaiki untuk menjalankan perintah pemrograman istimewa:
- Menembus Sandbox: Malware menggunakan API internal util.readFileIntoStream() untuk melewati perlindungan sandbox standar dan membaca file apa pun di komputer lokal korban.
- Transmisi Data Diam-diam: Setelah data diambil, malware menggunakan API RSS-addFeed() untuk mengirimkan informasi tersebut ke server yang dikendalikan penyerang tanpa sepengetahuan pengguna.
- Informasi yang Dicuri: Data yang dikirim mencakup detail sistem operasi, pengaturan bahasa, versi Adobe Reader yang digunakan, hingga jalur file (file path) lokal PDF tersebut.
Tahap Awal Menuju Kendali Penuh
Para ahli keamanan mengklasifikasikan ini sebagai serangan Advanced System Fingerprinting. Para peretas tidak hanya mencuri data sembarangan; mereka mengevaluasi apakah komputer korban memenuhi kriteria target yang mereka inginkan.
Jika sistem dianggap sebagai target yang bernilai tinggi, server penyerang akan mengirimkan muatan (payload) JavaScript tambahan secara dinamis.
Hebatnya, malware ini menggunakan kriptografi untuk mendekripsi muatan yang masuk, sebuah taktik yang dirancang khusus untuk menghindari alat deteksi berbasis jaringan.
Dalam pengujian terkontrol, peneliti mengonfirmasi bahwa mekanisme ini mampu meluncurkan serangan lebih lanjut yang jauh lebih merusak, termasuk:
- Remote Code Execution (RCE): Eksekusi kode jarak jauh oleh peretas.
- Sandbox Escape (SBX): Pelarian dari lingkungan isolasi keamanan guna mengambil alih kendali penuh atas mesin yang terinfeksi.
Langkah Mitigasi Segera
Hingga saat ini, ancaman ini masih berstatus zero-day, yang berarti belum ada pembaruan resmi dari Adobe untuk mencegah pencurian data awal. Peneliti justhaifei1 melaporkan bahwa kerentanan ini telah diungkapkan secara bertanggung jawab kepada pihak Adobe.
Sembari menunggu tambalan resmi, pengguna dan administrator jaringan disarankan untuk melakukan langkah pencegahan berikut:
- Ekstra Waspada: Jangan pernah membuka file PDF yang diterima dari sumber yang tidak dikenal, tidak dipercaya, atau tidak terverifikasi.
- Blokir Infrastruktur Berbahaya: Administrator jaringan harus segera memantau dan memblokir lalu lintas keluar yang berkomunikasi dengan alamat IP 169.40.2.68 pada port 45191.
- Pantau Lalu Lintas Jaringan: Periksa lalu lintas HTTP dan HTTPS untuk aktivitas mencurigakan yang mengandung string “Adobe Synchronizer” di dalam bidang User-Agent.
Keberhasilan malware ini melewati antivirus tradisional menunjukkan bahwa pertahanan berbasis tanda tangan (signature-based) saja tidak lagi cukup.
Penting bagi organisasi untuk mulai mengadopsi analitik perilaku guna mendeteksi aktivitas tidak wajar di dalam aplikasi sehari-hari seperti Adobe Reader.
Tetap waspada dan pastikan sistem keamanan Anda terpantau secara real-time untuk menghindari pencurian data yang tidak terdeteksi.
Sumber berita:
