Credit image: Pixabay
Credit image: PixabayBanyak sekali tips-tips keamanan siber yang bertebaran di internet dengan berbagai anjuran dan triknya, sebagian besar di antaranya biasanya berisi konten yang hampir sama karena memang untuk permasalahan yamg serupa banyak pakar keamanan memiliki pendapat yang sama. Seperti yang paling umum adalah bila seseorang ingin mengunduh di internet, saran yang paling mendasar sering diberikan adalah agar selalu mengunduh dari sumber yang terpercaya.
Tapi terkadang saran dasar dan jelas semacam itu mungkin tidak menyelamatkan Anda dari serangan malware. ESET menemukan tiga aplikasi trojan yang bersarang di download.cnet.com, yang merupakan salah satu perangkat lunak hosting paling populer di dunia. Berdasarkan Alexa, situs ini berada di peringkat 163.
Malware yang mendiami download.cnet.com salah satunya yang berbahaya adalah yang mengincar mata uang virtual dari komputer pengguna yang pernah mengunduh dari situs unduhan tersebut. Malware ini menyadap alamat dompet uang virtual dan menggantinya dengan alamat Bitcoin hardcode dari pelaku. Melihat insiden ini peneliti ESET mulai melakukan penyelidikan untuk membantu mengetahui lebih jelas mengenai kasus pencurian ini.
Distribusi Malware
ESET menemukan bahwa sumber infeksi berasal dari aplikasi Win32 Disk Imager yang sudah disusupi trojan, aplikasi diunduh dari download.com, yang telah beredar di situs web sejak 2 Mei 2016. ESET mendeteksi aplikasi trojan sebagai varian dari MSIL/TrojanDropper.Agent.DQJ. Program ini diunduh dari CNET 311 kali hanya dalam seminggu terakhir dan lebih dari 4.500 kali total keseluruhan.
Kemudian selama penyelidikan, ESET menemukan bahwa Win32 Disk Imager bukan satu-satunya aplikasi trojan yang diinangi di download.com dan diketahui setidaknya 2 kasus lainnya dari pengembang yang sama. Yang pertama adalah CodeBlocks, yang telah diblokir oleh CNET dan berisi muatan MSIL/ClipBanker.DF yang sama. Code Blocks adalah IDE open-source yang populer (Integrated Development Environment) yang digunakan oleh banyak pengembang C/C ++.
Yang lainnya adalah MinGW-w64, yang ditemukan saat awal penyelidikan. Aplikasi ini berisi beberapa muatan berbahaya termasuk pencuri bitcoin dan virus. MinGW pada dasarnya adalah port of GCC (GNU Compiler Collection) untuk Microsoft Windows. Setelah pemberitahuan oleh ESET, CNET dengan cepat menghapus aplikasi yang sudah ditrojanisasi ini dari situs mereka.
Indikator Petunjuk
Sebenarnya pelaku di balik operasi malware di download.com tidak melakukan sesuatu yang spesial untuk menutupi maksud dan tujuan mereka. Karena bahkan dropper dan ClipBanker sangat menunjukkan niat mereka.
Ada beberapa indikator yang bisa dicari dan jadi petunjuk bagi korban. Pertama payload dan paket trojan di-drop dalam y3_temp008.exe resp. Win32DiskImage_0_9_5_install.exe di direktori sementara dan dieksekusi.
Lalu payload yang di-drop oleh aplikasi MinGW-w64 yang sudah ditrojanisasi. Varian ini sedikit lebih canggih dengan menggunakan regular expression untuk pencarian dompet mata uang virtual. Selain itu, ia juga sangat berbahaya karena berisi komponen tambahan yang dienkripsi dalam source code bersama dengan sekitar 3500 alamat Bitcoin pelaku, yang digunakan untuk menggantikan alamat dompet korban dengan alamat yang sama berdasarkan tiga karakter pertama kunci pada dompet.
Payload tambahan lain dikirim dengan muatan yang berisi pencuri Bitcoin atau Bitcoin Stealer yang memiliki path PDB salah satunya adalah: C:\Users\Ngcuka\Documents\V\Flash Spreader\obj\x86\Release\MainV.pdb. Username identik dengan yang ditemukan di path PDB Bitcoin Stealer pertama, dengan demikian ESET menyakini bahwa semua malware dikembangkan oleh pengembang yang sama.
Membersihkan Sistem Terinfeksi
- Hapus installer yang telah diunduh yang disebut win32diskimager.exe (SHA1: 0B1F49656DC5E4097441B04731DDDD02D4617566) resp. codeblocks.exe (SHA1: 7242AE29D2B5678C1429F57176DDEBA2679EF6EB) resp. mingw-w64-install.exe (SHA1: 590D0B13B6C8A7E39558D45DFEC4BDE3BBF24918) dari lokasi folder unduh Anda.
- Hapus exe di folder %appdata%\dibifu_8\ (SHA1: E0BB415E858C379A859B8454BC9BA2370E239266)
- Hapus y3_temp008.exe dari folder %temp%\ (SHA1: 3AF17CDEBFE52B7064A0D8337CAE91ABE9B7E4E3, hal. C758F832935A30A865274AA683957B8CBC65DFDE)
- Hapus nilai registri ScdBcd dari kunci HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Selama investigasi dan dari hasil yang diperoleh, ESET menginformasikan CNET dan mereka segera menghapus aplikasi trojan dari situs mereka, mencegah infeksi tambahan.
Jika para pengguna internet ada yang pernah mengunduh di download.com dan curiga bahwa perangkat Anda bisa saja telah disusupi, pasang solusi AV yang seharusnya menghapus file secara otomatis. Saran ESET untuk menghadapi serangan yang mengganti clipboard adalah dengan mengecek ulang alamat yang disalin saat melakukan transaksi.
Sumber berita:
