Serangan siber baru terdeteksi membajak pengaturan DNS router sehingga browser web menampilkan peringatan terkait aplikasi COVID-19 palsu dari Organisasi Kesehatan Dunia (WHO) yang mana aslinya merupakan malware Vidar yang mencuri informasi.
Selama lima hari terakhir, orang-orang telah melaporkan bahwa browser web mereka akan terbuka sendiri dan menampilkan pesan yang mendorong mereka untuk mengunduh ‘Aplikasi COVID-19’ dari WHO.
Setelah penelitian lebih lanjut, ternyata peringatan ini disebabkan oleh serangan yang mengubah server DNS pada router D-Link atau Linksys di rumah mereka untuk menggunakan server DNS yang dioperasikan oleh penjahat siber.
Karena sebagian besar komputer mereka menggunakan alamat IP dan informasi DNS yang disediakan oleh router, server DNS berbahaya mengarahkan korban ke konten yang berada di bawah kendali penyerang.
Membajak probe aktif NCSI Windows
Saat ini, tidak diketahui bagaimana para penyerang mendapatkan akses ke router untuk mengubah konfigurasi DNS korban, tetapi beberapa pengguna menyatakan bahwa mereka memiliki akses jarak jauh ke router yang diaktifkan dengan kata sandi admin yang lemah.
Setelah mendapatkan akses ke router, penyerang akan mengubah server DNS yang dikonfigurasi menjadi 109.234.35.230 dan 94.103.82.249, yang juga akan dikonfigurasi pada sebagian besar komputer yang terhubung ke router.
Ketika komputer terhubung ke jaringan, Microsoft menggunakan fitur yang disebut ‘Network Connectivity Status Indicator (NCSI)‘ yang digunakan untuk secara berkala menjalankan probe yang memeriksa apakah komputer terhubung ke Internet.
Pada Windows 10, salah satu dari probe aktif ini akan terhubung ke situs http://www.msftconnecttest.com/connecttest.txt dan periksa apakah konten yang dikembalikan berisi string ‘Microsoft Connect Test‘.
Jika iya, maka komputer terhubung ke Internet dan jika tidak, Windows memperingatkan bahwa Internet tidak dapat diakses.
Untuk korban serangan ini, ketika Windows melakukan penyelidikan aktif NCSI, alih-alih terhubung ke alamat IP Microsoft 13.107.4.52 yang sah, server DNS berbahaya mengirim target ke situs web yang terletak di 176.113.81.159.
Karena alamat IP ini berada di bawah kendali penyerang, alih-alih mengirim kembali file teks sederhana, mereka menampilkan halaman yang mendorong korban untuk mengunduh dan menginstal ‘Emergency – COVID-19 Informator’ atau ‘COVID-19 Inform App’ palsu dari WHO seperti yang ditunjukkan di bawah ini.
Jika pengguna mengunduh dan menginstal aplikasi ini, disamping akan mendapat aplikasi informasi COVID-19, juga akan menginstal Trojan Vidar yang mencuri informasi di komputer korban.
Ketika diluncurkan, malware ini akan mencoba mencuri informasi berikut dari komputer korban:
- cookie browser
- riwayat browser
- informasi pembayaran browser
- akun login yang disimpan
- dompet cryptocurrency
- file teks
- informasi autofill browser
- Basis data otentikasi 2FA
- tangkapan layar desktop pada saat terinfeksi, dan masih banyak lagi.
Informasi ini kemudian akan diunggah ke server penyerang, lalu dikumpulkan dan digunakan untuk melakukan serangan lebih lanjut pada akun online korban.
Serangan lebih lanjut ini bisa berupa pencurian uang dari rekening bank, melakukan pencurian identitas, atau serangan phishing lebih lanjut.
Baca juga: “Hati-Hati, ‘Coronavirus Map’ Mengandung Malware Pencuri Password“
https://errorcybernews.id/2020/03/12/hati-hati-coronavirus-map-mengandung-malware-pencuri-password/
Apa yang harus dilakukan jika terkena serangan ini
Jika browser kamu secara acak membuka ke halaman yang mempromosikan aplikasi informasi COVID-19, maka kamu harus mencoba login ke router dan pastikan kamu mengkonfigurasinya untuk secara otomatis menerima server DNS dari ISP.
Karena setiap router memiliki cara berbeda untuk mengkonfigurasi server DNS, tidak mungkin untuk memberikan metode khusus tentang cara melakukan ini.
Secara umum, kamu bisa mengikuti langkah-langkah ini:
- Login ke router
- Temukan pengaturan DNS dan pastikan tidak ada server, terutama 109.234.35.230 dan 94.103.82.249, yang dikonfigurasi secara manual. Jika ya, atur pengaturan server DNS ke ‘Otomatis’ atau ke server DNS dari ISP.
- Kemudian simpan konfigurasi.
Setelah itu, lakukan reboot perangkat seluler, konsol game, dan komputer sehingga mereka menggunakan pengaturan DNS yang benar dari ISP.
Perlu dicatat, penting juga untuk mengubah kata sandi atau akun untuk login ke router menjadi lebih unik/kuat dan menonaktifkan akses jarak jauh pada router.
Terakhir, jika kamu mengunduh dan menginstal aplikasi COVID-19, kamu harus segera melakukan pemindaian pada komputer untuk pencarian malware.
Setelah dinyatakan aman, kamu harus mengubah semua kata sandi untuk situs yang akunnya disimpan di browser dan harus mengubah kata sandi untuk situs apa pun yang kamu kunjungi sejak diduga perangkat yang kamu gunakan terinfeksi.
Saat mengatur ulang kata sandi, pastikan untuk menggunakan kata sandi unik/kuat untuk setiap situs.
