Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Tips & Tricks
  • Hati-hati Mengunduh di download.cnet.com, Bahaya!!
  • Tips & Tricks

Hati-hati Mengunduh di download.cnet.com, Bahaya!!

3 min read

Credit image: Pixabay

Credit image: PixabayBanyak sekali tips-tips keamanan siber yang bertebaran di internet dengan berbagai anjuran dan triknya, sebagian besar di antaranya biasanya berisi konten yang hampir sama karena memang untuk permasalahan yamg serupa banyak pakar keamanan memiliki pendapat yang sama. Seperti yang paling umum adalah bila seseorang ingin mengunduh di internet, saran yang paling mendasar sering diberikan adalah agar selalu mengunduh dari sumber yang terpercaya.

Tapi terkadang saran dasar dan jelas semacam itu mungkin tidak menyelamatkan Anda dari serangan malware. ESET menemukan tiga aplikasi trojan yang bersarang di download.cnet.com, yang merupakan salah satu perangkat lunak hosting paling populer di dunia. Berdasarkan Alexa, situs ini berada di peringkat 163.

Malware yang mendiami download.cnet.com salah satunya yang berbahaya adalah yang mengincar mata uang virtual dari komputer pengguna yang pernah mengunduh dari situs unduhan tersebut. Malware ini menyadap alamat dompet uang virtual dan menggantinya dengan alamat Bitcoin hardcode dari pelaku. Melihat insiden ini peneliti ESET mulai melakukan penyelidikan untuk membantu mengetahui lebih jelas mengenai kasus pencurian ini.

Distribusi Malware

ESET menemukan bahwa sumber infeksi berasal dari aplikasi Win32 Disk Imager yang sudah disusupi trojan, aplikasi diunduh dari download.com, yang telah beredar di situs web sejak 2 Mei 2016. ESET mendeteksi aplikasi trojan sebagai varian dari MSIL/TrojanDropper.Agent.DQJ. Program ini diunduh dari CNET 311 kali hanya dalam seminggu terakhir dan lebih dari 4.500 kali total keseluruhan.

Kemudian selama penyelidikan, ESET menemukan bahwa Win32 Disk Imager bukan satu-satunya aplikasi trojan yang diinangi di download.com dan diketahui setidaknya 2 kasus lainnya dari pengembang yang sama. Yang pertama adalah CodeBlocks, yang telah diblokir oleh CNET dan berisi muatan MSIL/ClipBanker.DF yang sama. Code Blocks adalah IDE open-source yang populer (Integrated Development Environment) yang digunakan oleh banyak pengembang C/C ++.

Yang lainnya adalah MinGW-w64, yang ditemukan saat awal penyelidikan. Aplikasi ini berisi beberapa muatan berbahaya termasuk pencuri bitcoin dan virus. MinGW pada dasarnya adalah port of GCC (GNU Compiler Collection) untuk Microsoft Windows. Setelah pemberitahuan oleh ESET, CNET dengan cepat menghapus aplikasi yang sudah ditrojanisasi ini dari situs mereka.

Indikator Petunjuk

Sebenarnya pelaku di balik operasi malware di download.com tidak melakukan sesuatu yang spesial untuk menutupi maksud dan tujuan mereka. Karena bahkan dropper dan ClipBanker sangat menunjukkan niat mereka.

Ada beberapa indikator yang bisa dicari dan jadi petunjuk bagi korban. Pertama payload dan paket trojan di-drop dalam y3_temp008.exe resp. Win32DiskImage_0_9_5_install.exe di direktori sementara dan dieksekusi.

Lalu payload yang di-drop oleh aplikasi MinGW-w64 yang sudah ditrojanisasi. Varian ini sedikit lebih canggih dengan menggunakan regular expression untuk pencarian dompet mata uang virtual. Selain itu, ia juga sangat berbahaya karena berisi komponen tambahan yang dienkripsi dalam source code bersama dengan sekitar 3500 alamat Bitcoin pelaku, yang digunakan untuk menggantikan alamat dompet korban dengan alamat yang sama berdasarkan tiga karakter pertama kunci pada dompet.

Payload tambahan lain dikirim dengan muatan yang berisi pencuri Bitcoin atau Bitcoin Stealer yang memiliki path PDB salah satunya adalah: C:\Users\Ngcuka\Documents\V\Flash Spreader\obj\x86\Release\MainV.pdb. Username identik dengan yang ditemukan di path PDB Bitcoin Stealer pertama, dengan demikian ESET menyakini bahwa semua malware dikembangkan oleh pengembang yang sama.

Membersihkan Sistem Terinfeksi

  • Hapus installer yang telah diunduh yang disebut win32diskimager.exe (SHA1: 0B1F49656DC5E4097441B04731DDDD02D4617566) resp. codeblocks.exe (SHA1: 7242AE29D2B5678C1429F57176DDEBA2679EF6EB) resp. mingw-w64-install.exe (SHA1: 590D0B13B6C8A7E39558D45DFEC4BDE3BBF24918) dari lokasi folder unduh Anda.
  • Hapus exe di folder %appdata%\dibifu_8\ (SHA1: E0BB415E858C379A859B8454BC9BA2370E239266)
  • Hapus y3_temp008.exe dari folder %temp%\ (SHA1: 3AF17CDEBFE52B7064A0D8337CAE91ABE9B7E4E3, hal. C758F832935A30A865274AA683957B8CBC65DFDE)
  • Hapus nilai registri ScdBcd dari kunci HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Selama investigasi dan dari hasil yang diperoleh, ESET menginformasikan CNET dan mereka segera menghapus aplikasi trojan dari situs mereka, mencegah infeksi tambahan.

Jika para pengguna internet ada yang pernah mengunduh di download.com dan curiga bahwa perangkat Anda bisa saja telah disusupi, pasang solusi AV yang seharusnya menghapus file secara otomatis. Saran ESET untuk menghadapi serangan yang mengganti clipboard adalah dengan mengecek ulang alamat yang disalin saat melakukan transaksi.

Sumber berita:

www.welivesecurity.com

Tags: Antivirus Super Ringan Antivirus Terbaik BacaPikirshare Bitcoin CNET Download.com ESET Malware Trojan

Continue Reading

Previous: OceanLotus Sindikat APT Berbahaya
Next: Trik Penjahat Siber Menyelinap dalam Ponsel

Related Stories

Mengungkap Bahaya Tersembunyi di Balik Kemudahan Teknologi Mengungkap Bahaya Tersembunyi di Balik Kemudahan Teknologi
4 min read
  • Teknologi
  • Tips & Tricks

Mengungkap Bahaya Tersembunyi di Balik Kemudahan Teknologi

April 29, 2025
Trik Menjauhkan Informasi Personal dari Dark Web Trik Ini Menjauhkan Informasi Personal dari Dark Web
3 min read
  • Sektor Personal
  • Tips & Tricks

Trik Menjauhkan Informasi Personal dari Dark Web

April 24, 2025
Aman Belanja Online dan Perbandingannya dengan Belanja Offline Aman Belanja Online dan Perbandingannya dengan Belanja Offline
4 min read
  • Mobile Security
  • Sektor Personal
  • Tips & Tricks

Aman Belanja Online dan Perbandingannya dengan Belanja Offline

April 21, 2025

Recent Posts

  • Mengelola dan Melindungi Jejak Digital
  • Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
  • Mencegah Bisnis menjadi Korban Serangan Phising
  • Dari ClickFix ke Video TikTok Palsu
  • Riset ESET: Asia Dominasi Serangan Siber
  • Waspada Aplikasi Ledger Palsu Mengincar Pengguna macOS
  • ESET Gabung Operasi Endgame Lumpuhkan Danabot
  • Panggilan Palsu Senjata Baru Pencurian Data
  • Serangan Phising yang Jarang Diketahui
  • ESET Gabung Operasi Global Lumpuhkan Lumma Stealer

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Mengelola dan Melindungi Jejak Digital Mengelola dan Melindungi Jejak Digital
3 min read
  • Teknologi

Mengelola dan Melindungi Jejak Digital

May 28, 2025
Lindungi Data dengan Enkripsi Seperti Perusahaan Besar Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
4 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Lindungi Data dengan Enkripsi Seperti Perusahaan Besar

May 28, 2025
Mencegah Bisnis menjadi Korban Serangan Phising Mencegah Bisnis menjadi Korban Serangan Phising
3 min read
  • Teknologi

Mencegah Bisnis menjadi Korban Serangan Phising

May 28, 2025
Dari ClickFix ke Video TikTok Palsu Dari ClickFix ke Video TikTok Palsu
3 min read
  • Teknologi

Dari ClickFix ke Video TikTok Palsu

May 27, 2025

Copyright © All rights reserved. | DarkNews by AF themes.