Jika kamu melihat sepasang sepatu favorit dalam sebuah iklan, jangan klik iklan tersebut di lain waktu. Karena iklan tersebut bisa menginfeksi kamu sedemikian rupa. Dan tidak hanya sistem kamu yang terinfeksi loh. Tapi setiap perangkat yang terhubung ke jaringan yang sama dengan kamu pun akan ikut terinfeksi. Kali ini para peniliti menemukan sebuah exploit kit yang disebut DNSChanger. Exploit kit ini dirancang penyerang untuk menargetkan pengguna online. Yang didistrubiskan melalui iklan yang berhasil disusupi oleh kode berbahaya ke dalam image data.
Tool ini hampir mirip dengan yang kami laporkan beberapa hari yang lalu, yaitu Stegano. Dimana exploit kit Stegano tersebut menyisipkan kode berbahaya ke dalam pixel di banner iklan. Dan membuat situs-situs bertrafik tinggi yang menampilkan iklan menjadi tidak aman.
Mungkin ada yang pernah mendengar DNSChanger? Malware yang pernah menginfeksi jutaan komputer di seluruh dunia pada tahun 2012.
DNSChanger ini bekerja dengan mengubah entri server DNS di komputer yang terinfeksi. Lalu mengubahnya agar menjadi mengarah ke server sang penyerang. Bukan ke server DNS yang disediakan oleh ISP atau organisasi lainnya.
Jadi, setiap kali pengguna yang sistemnya terinfeksi dan mengakses website (misalnya facebook.com), namun DNS server penyerang akan mengubah haluannya menjadi ke sebuah situs yang disiapkan penyerang (misalnya phising). Penyerang juga bisa menginjeksi iklan, mengarahkan hasil pencarian, atau mencoba untuk mendownload sesuatu lalu menginstalnya.
Para peneliti Proofpoint sudah menemukan DNSChanger exploit kit ini dalam lebih dari 166 model router. Kit ini terbilang unik, karena malware di dalamnya tidak menargetkan browser. Melainkan menargetkan router yang menjalankan firmware unpatched atau router yang memiliki password admin yang lemah.
Berikut ilustrasi yang menggambarkan bagaimana serangan ini bekerja :
Pertama, iklan yang terdapat kode berbahaya ini akan mengalihkan korban ke halaman web hosting DNSChanger exploit kit. Kemudian exploit kit menargetkan router yang tidak aman.
Setelah router terganggu, malware DNSChanger akan mengkonfigurasi untuk menggunakan server DNS yang dikendalikan penyerang. Lalu mengarahkan kebanyakan perangkat yang terhubung ke jaringan untuk mengunjungi server penyerang.
Iklan-iklan yang berisi kode JavaScript berbahaya ini memperlihatkan alamat IP lokal pengguna. Dengan memicu permintaan WebRTC (protokol komunikasi web) ke Mozilla STUN (Session Traversal Utilities untuk NAT) Server.
Server STUN kemudian mengirim ping balasan yang berisi alamat IP dan port dari klien. Jika alamat IP target dalam kisaran yang ditargetkan, maka target akan menerima sebuah iklan palsu. Yang dimana iklan palsu tersebut menyembunyikan sebuah kode exploit dalam metadata dari gambar PNG.
Dan kode berbahaya akhirnya mengarahkan pengunjung ke halaman web hosting DNSChanger. Lalu target yang menggunakan Chrome untuk Windows dan Android akan disuguhkan gambar kedua. Dimana dalam gambar kedua tersebut tersembunyi sebuah kode exploit router.
“Serangan ini ditentukan oleh model router tertentu yang terdeteksi selama fase pengintaian,” tulis seorang peneliti Proofpoint dalam postingan blognya. “Jika tidak ada yang diketahui exploit, serangan itu akan mencoba untuk menggunakan kredensial default.“
Berikut ini beberapa model router yang rentan terhadap serangan ini :
- D-Link DSL-2740R
- NetGear WNDR3400v3 (and likely other models in this series)
- Netgear R6200
- COMTREND ADSL Router CT-5367 C01_R12
- Pirelli ADSL2/2+ Wireless Router P.DGA4001N
Namun saat ini masih tidak jelas berapa banyak yang sudah terinfeksi. Tapi Proofpoint mengatakan penyerang dalam serangan sebelumnya berhasil menginfeksi lebih dari 1 juta orang per hari.
Proofpoint tidak mengungkapkan nama jaringan iklan atau situs yang menampilkan iklan berbahaya ini.
Pengguna disarankan untuk memastikan bahwa router mereka menjalankan versi terbaru dari firmware. Dan dilindungi dengan sandi yang kuat. Mereka juga dapat menonaktifkan administrasi remote, mengubah alamat IP standar lokal, dan hardcode server DNS terpercaya ke dalam pengaturan jaringan sistem operasi.
