Apa saja bisa dijadikan media untuk menjalankan praktik kotor siber, hal yang terlihat sepele bisa menjadi suatu yang berbahaya jika dikemas dengan apik dan tersembunyi oleh pengembang malware. Salah satunya adalah dengan memanfaatkan font Roboto Condensed. Coba bayangkan, sesuatu sesederhana font bisa digunakan penjahat siber untuk menulari perangkat korban.
Serangan ini dilakukan ketika pengguna mengunjungi situs-situs yang sudah dikuasai oleh peretas, dengan menunjukkan peringatan kepada pengguna yang menyatakan bahwa font Roboto Condensed tidak ditemukan dan pengunjung harus mengunduh dan menginstal salah satu paket font yang apabila diunduh dan dipasang akan menyebabkan pengguna terinfeksi oleh trojan downloader, keylogger dan miner.
Cara Kerja
Untuk menerapkan serangan ini, pelaku pertama-tama meretas situs web yang legitimate dan memodifikasinya dengan menambahkan kode javascript ke setiap halaman web. Saat skrip ini dijalankan akan menyebabkan teks situs web menjadi acak sehingga terlihat seperti ada font yang hilang. Javascript kemudian akan menampilkan kotak dialog pada halaman yang menyatakan bahwa font Roboto Condensed hilang dan pengguna harus mengunduh dan menginstal paket font agar bisa melihat situs dengan benar.
Saat pengunjung masuk ke halaman yang diretas ini, skripnya akan mengacak teks halaman sehingga tidak mudah dibaca. Script ini, meskipun, tidak selalu bekerja dengan baik pada setiap situs yang dikompromikan.
Javascript akan menampilkan peringatan yang menyatakan bahwa font Roboto Condensed hilang dan kemudian meminta mengunduh paket font. Jika pengguna menggunakan Chrome, unduhan akan disebut Paket Font Chrome dan jika menggunakan Mozilla, seperti yang terlihat di bawah, maka itu disebut Mozilla Font Pack.
Begitu pengguna mengklik tombol Update, skrip akan mengunduh file bernama chromefp60.exe, jika menggunakan Chrome, atau mozillafp60.exe, jika menggunakan Firefox, dari situs remote. Setelah tombol update telah diklik, peringatan akan berubah menjadi petunjuk bagaimana cara menyimpan executable dan menginstalnya.
Kabar baiknya adalah program unduh ini tidak otomatis dijalankan dan korban harus menjalankan program secara manual untuk bisa terinfeksi. Pelaku berharap bahwa dengan mengacak teks di halaman web dan berpura-pura memberi peringatan dari Mozilla dan Chrome tentang font yang hilang, mereka dapat menipu orang-orang untuk menjalankan file tersebut. Setelah file dijalankan, payload malware akan diinstal.
Rotasi Malware
Pelaku di balik serangan Roboto Condensed Font Pack merotasi berbagai jenis malware yang akan diinstal oleh update yang diunduh. Sejauh ini telah diketahui bahwa malware tersebut antara lain adalah miner Monero, Trojan Downloader dan keylogger Ursnif.
Dari ketiga malware tersebut, ada satu yang bisa memberikan dampak paling potensial merusak, yakni rsnif. Ini karena Ursnif akan bergerak dengan tenang di balik belakang sambil merekam apapun yang korban ketik di keyboard-nya, situs apa yang dikunjungi, dan teks apa yang disalin ke clipboard. Hal seperti ini dapat menyebabkan kebocoran informasi sensitif seperti rahasia usaha, nama pengguna dan kata sandi, atau informasi keuangan, mereka yang terinfeksi oleh Ursnif jelas akan mendapat masalah besar.
Melihat bagaimana pelaku merotasi malware berbeda secara rutin melalui metode serangan ini, tidak akan mengejutkan jika dalam waktu tidak lama lagi sebuah ransomware akan diikutsertakan menjadi bagian dari rotasi yang dilakukan.
Sumber berita:
https://www.bleepingcomputer.com
