Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Trojan Ekstensi Firefox Sabot Instagram
  • Teknologi

Trojan Ekstensi Firefox Sabot Instagram

3 min read

Credit image: Pixabay

Sebuah kelompok spionase cyber yang dikenal sebagai Turla yang diyakini sebagai kepanjangan tangan dari intelijen Rusia, kelompok ini punya mainan baru yaitu sebuah trojan backdoor yang menyamar sebagai ekstensi Firefox yang menggunakan komentar pada foto Instagram Britney Spears untuk menyimpan lokasi server command & control (C&C) mereka.

Ditemukan oleh peneliti ESET dalam distribusi baru-baru ini, ekstensi Firefox ini adalah bagian dari alat hacking yang lebih besar yang digunakan oleh Turla APT.

Modus operandi kelompok siber ini adalah melalui situs-situs dikompromikan yang memuat kode berbahaya yang secara paksa mengunduh dan menjalankan berkas-berkas berbahaya di komputer korban. Jenis serangan ini dikenal dengan nama drive by download digunakan dengan memanfaatkan eksploit kit, iklan, dan perangkat spionase siber.

Benang Merah Pacifier dan Turla

Ekstensi Firefox tidak diinstal dengan paksa, namun para peneliti melihatnya di situs perusahaan keamanan Swiss yang disusupi. Pengunjung situs ini diminta memasang ekstensi yang disebut HTML5 Encoding. ESET mengatakan ini adalah backdoor berbasis JavaScript sederhana yang melaporkan aktivitas pengguna kembali ke operatornya.

Ini bukan pertama kalinya para periset melihat sebuah ekstensi Firefox yang mengantarkan sebuah backdoor. Kembali pada bulan Juli 2016, periset menemukan unit spionase cyber baru yang diberi nama Pacifier APT yang juga menggunakan ekstensi Firefox untuk menginstal backdoors di perangkat pengguna.

Ekstensi Firefox itu bernama langpack-en-GB, menggunakan taktik yang berbeda, karena menggunakan file Word yang dicampur makro yang meminta pengguna untuk memasang ekstensi.

Dari temuan lama tersebut, para peneliti ESET menyadari bahwa ekstensi Firefox telah mengunduh versi Skipper backdoor, sebuah keluarga malware Turla yang terkenal. Karena malware Skipper khas untuk Turla, ini berarti bahwa kampanye Pacifier yang menargetkan institusi pemerintah Rumania kemungkinan besar adalah karya APT Turla.

Ekstensi Firefox Terhubung Domain Server

Peneliti ESET melihat peluncuran ekstensi Firefox pertama merupakan bagian sebuah operasi spionase siber, sementara yang kedua, diberi nama HTML5 Encoder lebih pada sebuah uji coba.

Hal ini dikarenakan ekstensi Firefox menggunakan URL server C&C yang diubah melalui URL singkat Bit.ly yang memungkinkan peneliti mendeteksi berapa kali URL diakses. Menurut tim ESET, URL telah diakses sebanyak 17 kali pada saat mereka menemukannya, yang berarti ekstensi hampir tidak pernah digunakan.

Tapi yang paling aneh bukan karena mereka telah menemukan backdoor tersembunyi di dalam ekstensi Firefox yang jarang digunakan. Hal yang paling mengejutkan adalah bagaimana ekstensi tersebut terhubung dengan domain server C&C-nya.

Menurut ESET, malware tersebut akan terhubung ke bagian komentar sebuah foto yang diunggah di akun Instagram Britney Spears dan mencari komentar yang memiliki hash dengan nilai 183.

Peneliti ESET melihat hanya ada satu komentar yang memiliki nilai hash tersebut, dan komentar tersebut berisi karakter tersembunyi yang digunakan untuk terhubung dengan domain server C&C.

Melihat komentar foto tersebut, hanya ada satu yang cocok dengan hash 183. Komentar ini telah diposting pada 6 Februari, sementara foto aslinya di-posting pada awal Januari. Mengambil komentar dan menjalankannya melalui regex, Anda mendapatkan URL bit.ly berikut:

http://bit.ly/2kdhuHX

Bila melihat lebih dekat pada ekspresi reguler, kita melihat ia mencari karakter @|# atau Unicode\200d. Karakter ini sebenarnya adalah karakter yang tidak dapat dicetak yang disebut ‘Zero Width Joiner’, biasanya digunakan untuk memisahkan emoji. Menempelkan komentar sebenarnya atau melihat sumbernya, Anda dapat melihat bahwa karakter ini mendahului setiap karakter yang membuat jalur bit.ly URL:

Smith2155 <200d> # 2hot ma <200d> ke lovei <200d> d to <200d> dia, <200d> uupss <200d> #Hot <200d> #X

Saat menyelesaikan tautan yang dipersingkat ini, semua kemudian mengarah pada static.travelclothes.org/dolR_1ert.php, yang di masa lalu digunakan sebagai watering hole C&C oleh kru Turla.

ESET melihat ekstensi Firefox ini berisi beberapa fitur yang sangat mengganggu, yang memungkinkan kru Turla membaca konten sebuah direktori, mengunduh dan mengunggah file dari dan ke server C&C dan menjalankan file pada mesin yang terinfeksi. Ini merupakan fitur dasar, dibandingkan dengan backdoor yang lebih kuat, namun lebih dari cukup untuk penjahat siber yang ahli.

Kabar baiknya adalah bahwa vektor serangan ini akan segera ditinggalkan. Pada akhir tahun, Firefox berencana untuk menjauh dari API Add-ons NPAPI lama ke API yang lebih baru yang disebut WebExtensions. Kedua ekstensi Firefox Turla diciptakan pada teknologi berbasis NPAPI yang lama. API WebExtensions baru tidak memberikan tingkat interaksi yang sama dengan OS yang mendasarinya.

Sumber berita:
www.welivesecurity.com

Tags: Android Malware anti virus super ringan ESET deteksi Ransomware instagram Ransomware Super Ringan Trojan

Continue Reading

Previous: MENGINTIP RANSOMWARE MASA DEPAN
Next: Ransomware Mirip WannaCry Serang Android

Related Stories

Tanda-tanda Router Diretas dan Cara Melindunginya Tanda-tanda Router Diretas dan Cara Melindunginya
6 min read
  • Sektor Personal
  • Teknologi

Tanda-tanda Router Diretas dan Cara Melindunginya

September 16, 2025
Memahami dan Mengelola Shadow IT di Era Digital Memahami dan Mengelola Shadow IT di Era Digital
5 min read
  • Sektor Bisnis
  • Teknologi

Memahami dan Mengelola Shadow IT di Era Digital

September 15, 2025
Mengenal Security as a Service (SECaaS) Mengenal Security as a Service (SECaaS)
3 min read
  • Sektor Bisnis
  • Teknologi

Mengenal Security as a Service (SECaaS)

September 15, 2025

Recent Posts

  • Hacker Kini Curi Data Anda di Tengah Jalan
  • Ancaman Ransomware Terbaru Incar Sistem Modern HybridPetya
  • Browser Adalah Titik Serangan Baru Sudahkah Anda Siap?
  • Cara Menjaga Mental Anak dari Ancaman Dunia Maya
  • Tiga Elemen Penting Menghadapi Ancaman Siber
  • Tanda-tanda Router Diretas dan Cara Melindunginya
  • Yakin Email dari Bos Anda Asli Begini Cara Memastikannya
  • Memahami dan Mengelola Shadow IT di Era Digital
  • Mengenal Security as a Service (SECaaS)
  • Mengapa Kata Sandi Jadi Sasaran Empuk Peretas

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Hacker Kini Curi Data Anda di Tengah Jalan Hacker Kini Curi Data Anda di Tengah Jalan
4 min read
  • Sektor Bisnis
  • Sektor Personal

Hacker Kini Curi Data Anda di Tengah Jalan

September 18, 2025
Ancaman Ransomware Terbaru Incar Sistem Modern HybridPetya Ancaman Ransomware Terbaru Incar Sistem Modern HybridPetya
3 min read
  • Ransomware

Ancaman Ransomware Terbaru Incar Sistem Modern HybridPetya

September 18, 2025
Browser Adalah Titik Serangan Baru Sudahkah Anda Siap? Browser Adalah Titik Serangan Baru Sudahkah Anda Siap?
3 min read
  • Sektor Bisnis
  • Sektor Personal

Browser Adalah Titik Serangan Baru Sudahkah Anda Siap?

September 17, 2025
Cara Menjaga Mental Anak dari Ancaman Dunia Maya Cara Menjaga Mental Anak dari Ancaman Dunia Maya - Terlepas dari sisi positifnya, dunia digital sering kali meniru perilaku buruk yang kita lihat di dunia nyata. Hal ini kadang bahkan memperburuknya.
4 min read
  • Edukasi
  • Sektor Personal

Cara Menjaga Mental Anak dari Ancaman Dunia Maya

September 17, 2025

Copyright © All rights reserved. | DarkNews by AF themes.