Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Tips & Tricks
  • Hati-hati Mengunduh di download.cnet.com, Bahaya!!
  • Tips & Tricks

Hati-hati Mengunduh di download.cnet.com, Bahaya!!

3 min read

Banyak sekali tips-tips keamanan siber yang bertebaran di internet dengan berbagai anjuran dan triknya, sebagian besar di antaranya biasanya berisi konten yang hampir sama karena memang untuk permasalahan yamg serupa banyak pakar keamanan memiliki pendapat yang sama. Seperti yang paling umum adalah bila seseorang ingin mengunduh di internet, saran yang paling mendasar sering diberikan adalah agar selalu mengunduh dari sumber yang terpercaya.

Tapi terkadang saran dasar dan jelas semacam itu mungkin tidak menyelamatkan Anda dari serangan malware. ESET menemukan tiga aplikasi trojan yang bersarang di download.cnet.com, yang merupakan salah satu perangkat lunak hosting paling populer di dunia. Berdasarkan Alexa, situs ini berada di peringkat 163.

Malware yang mendiami download.cnet.com salah satunya yang berbahaya adalah yang mengincar mata uang virtual dari komputer pengguna yang pernah mengunduh dari situs unduhan tersebut. Malware ini menyadap alamat dompet uang virtual dan menggantinya dengan alamat Bitcoin hardcode dari pelaku. Melihat insiden ini peneliti ESET mulai melakukan penyelidikan untuk membantu mengetahui lebih jelas mengenai kasus pencurian ini.

Distribusi Malware

ESET menemukan bahwa sumber infeksi berasal dari aplikasi Win32 Disk Imager yang sudah disusupi trojan, aplikasi diunduh dari download.com, yang telah beredar di situs web sejak 2 Mei 2016. ESET mendeteksi aplikasi trojan sebagai varian dari MSIL/TrojanDropper.Agent.DQJ. Program ini diunduh dari CNET 311 kali hanya dalam seminggu terakhir dan lebih dari 4.500 kali total keseluruhan.

Kemudian selama penyelidikan, ESET menemukan bahwa Win32 Disk Imager bukan satu-satunya aplikasi trojan yang diinangi di download.com dan diketahui setidaknya 2 kasus lainnya dari pengembang yang sama. Yang pertama adalah CodeBlocks, yang telah diblokir oleh CNET dan berisi muatan MSIL/ClipBanker.DF yang sama. Code Blocks adalah IDE open-source yang populer (Integrated Development Environment) yang digunakan oleh banyak pengembang C/C ++.

Yang lainnya adalah MinGW-w64, yang ditemukan saat awal penyelidikan. Aplikasi ini berisi beberapa muatan berbahaya termasuk pencuri bitcoin dan virus. MinGW pada dasarnya adalah port of GCC (GNU Compiler Collection) untuk Microsoft Windows. Setelah pemberitahuan oleh ESET, CNET dengan cepat menghapus aplikasi yang sudah ditrojanisasi ini dari situs mereka.

Indikator Petunjuk

Sebenarnya pelaku di balik operasi malware di download.com tidak melakukan sesuatu yang spesial untuk menutupi maksud dan tujuan mereka. Karena bahkan dropper dan ClipBanker sangat menunjukkan niat mereka.

Ada beberapa indikator yang bisa dicari dan jadi petunjuk bagi korban. Pertama payload dan paket trojan di-drop dalam y3_temp008.exe resp. Win32DiskImage_0_9_5_install.exe di direktori sementara dan dieksekusi.

Lalu payload yang di-drop oleh aplikasi MinGW-w64 yang sudah ditrojanisasi. Varian ini sedikit lebih canggih dengan menggunakan regular expression untuk pencarian dompet mata uang virtual. Selain itu, ia juga sangat berbahaya karena berisi komponen tambahan yang dienkripsi dalam source code bersama dengan sekitar 3500 alamat Bitcoin pelaku, yang digunakan untuk menggantikan alamat dompet korban dengan alamat yang sama berdasarkan tiga karakter pertama kunci pada dompet.

Payload tambahan lain dikirim dengan muatan yang berisi pencuri Bitcoin atau Bitcoin Stealer yang memiliki path PDB salah satunya adalah: C:\Users\Ngcuka\Documents\V\Flash Spreader\obj\x86\Release\MainV.pdb. Username identik dengan yang ditemukan di path PDB Bitcoin Stealer pertama, dengan demikian ESET menyakini bahwa semua malware dikembangkan oleh pengembang yang sama.

Membersihkan Sistem Terinfeksi

  • Hapus installer yang telah diunduh yang disebut win32diskimager.exe (SHA1: 0B1F49656DC5E4097441B04731DDDD02D4617566) resp. codeblocks.exe (SHA1: 7242AE29D2B5678C1429F57176DDEBA2679EF6EB) resp. mingw-w64-install.exe (SHA1: 590D0B13B6C8A7E39558D45DFEC4BDE3BBF24918) dari lokasi folder unduh Anda.

  • Hapus exe di folder %appdata%\dibifu_8\ (SHA1: E0BB415E858C379A859B8454BC9BA2370E239266)

  • Hapus y3_temp008.exe dari folder %temp%\ (SHA1: 3AF17CDEBFE52B7064A0D8337CAE91ABE9B7E4E3, hal. C758F832935A30A865274AA683957B8CBC65DFDE)

  • Hapus nilai registri ScdBcd dari kunci HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Selama investigasi dan dari hasil yang diperoleh, ESET menginformasikan CNET dan mereka segera menghapus aplikasi trojan dari situs mereka, mencegah infeksi tambahan. Jika para pengguna internet ada yang pernah mengunduh di download.com dan curiga bahwa perangkat Anda bisa saja telah disusupi, pasang solusi AV yang seharusnya menghapus file secara otomatis. Saran ESET untuk menghadapi serangan yang mengganti clipboard adalah dengan mengecek ulang alamat yang disalin saat melakukan transaksi.

Sumber berita:

www.welivesecurity.com

Tags: Antivirus Super Ringan Antivirus Terbaik BacaPikirshare Bitcoin CNET Download.com ESET Malware Trojan

Continue Reading

Previous: OceanLotus Sindikat APT Berbahaya
Next: Trik Penjahat Siber Menyelinap dalam Ponsel

Related Stories

Mengungkap Bahaya Tersembunyi di Balik Kemudahan Teknologi Mengungkap Bahaya Tersembunyi di Balik Kemudahan Teknologi
4 min read
  • Teknologi
  • Tips & Tricks

Mengungkap Bahaya Tersembunyi di Balik Kemudahan Teknologi

April 29, 2025
Trik Menjauhkan Informasi Personal dari Dark Web Trik Ini Menjauhkan Informasi Personal dari Dark Web
3 min read
  • Sektor Personal
  • Tips & Tricks

Trik Menjauhkan Informasi Personal dari Dark Web

April 24, 2025
Aman Belanja Online dan Perbandingannya dengan Belanja Offline Aman Belanja Online dan Perbandingannya dengan Belanja Offline
4 min read
  • Mobile Security
  • Sektor Personal
  • Tips & Tricks

Aman Belanja Online dan Perbandingannya dengan Belanja Offline

April 21, 2025

Recent Posts

  • Ratusan Ribu Kartu Kredit Dicuri Darcula Lewat Phising
  • Hati-hati Lamaran Online Berisi Phising
  • Scattered Spider Penjahat Siber Paling Bengis
  • Bahaya Rekam Retina Dibayar Sekali Risikonya Seumur Hidup
  • Spionase Siber Tiongkok Serang Asia Tenggara
  • Momok Ransomware Teratas DragonForce
  • Ketika Ketergantungan pada Ponsel Merenggut Ketenangan
  • Mengenal Lebih Dekat Kejahatan Siber Catfishing
  • Mengupas Tuntas Kejahatan Siber Money Mules
  • Mengungkap Akar Permasalahan Pemerasan Digital

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Ratusan Ribu Kartu Kredit Dicuri Darcula Lewat Phising Ratusan Ribu Kartu Kredit Dicuri Darcula Lewat Phising
3 min read
  • Teknologi

Ratusan Ribu Kartu Kredit Dicuri Darcula Lewat Phising

May 8, 2025
Hati-hati Lamaran Online Berisi Phising Hati-hati Lamaran Online Berisi Phising
4 min read
  • Teknologi

Hati-hati Lamaran Online Berisi Phising

May 8, 2025
Scattered Spider Penjahat Siber Paling Bengis Scattered Spider Penjahat Siber Paling Bengis
3 min read
  • Teknologi

Scattered Spider Penjahat Siber Paling Bengis

May 8, 2025
Bahaya Rekam Retina Dibayar Sekali Risikonya Seumur Hidup Bahaya Rekam Retina! Dibayar Sekali Risikonya Seumur Hidup
4 min read
  • Teknologi

Bahaya Rekam Retina Dibayar Sekali Risikonya Seumur Hidup

May 7, 2025

Copyright © All rights reserved. | DarkNews by AF themes.