PT. Digital Media Techindo

Perum Pondok Tandala, Jl. Bungur V No. 230
Kawalu, Kota Tasikmalaya
Jawa Barat - Indonesia 46182




Errorcybernews.id – Kapanpun dan dimanapun, cyber criminal selalu ada, bahkan tidak jarang mereka memanfaatkan situasi genting untuk melakukan aksi kejahatannya. Seiring dengan penyebaran bencana SARS-COV-II (virus), yang menyebabkan COVID-19 (penyakit), menjadi kesempatan bagi mereka untuk juga menyebarkan malware atau meluncurkan serangan cyber. Coronavirus map merupakan situs yang digunakan untuk memberi informasi kepada masyarakat tentang penyebaran wabah virus ini. Namun hacker memanfaatkan coronavirus map untuk menyisipkan malware yang menginfeksi PC untuk mencuri password.

Reason Security baru-baru ini merilis laporan analisis ancaman pada Senin (9/3) lalu yang merincikan serangan baru yang mengambil keuntungan dari meningkatnya kebutuhan pengguna internet akan informasi virus corona baru yang mendatangkan malapetaka di seluruh dunia.

Serangan malware secara khusus bertujuan untuk menargetkan mereka yang mencari informasi penyebaran COVID-19 di Internet. Kemudian menipu mereka untuk mengunduh dan menjalankan aplikasi berbahaya yang, pada tampilan utamanya, menunjukan peta yang diambil dari sumber online yang sah tetapi aslinya di proses latar belakang aplikasi tersebut menginfeksi komputer korban.

Ancaman Baru Dengan Komponen Malware Lama

Ancaman terbaru, yang dirancang untuk mencuri informasi dari korban yang tidak disadari, pertama kali ditemukan oleh MalwareHunterTeam minggu lalu. Kemudian dianalisis oleh Shai Alfasi, seorang peneliti keamanan siber di Reason Labs.

Ini melibatkan malware yang diidentifikasi sebagai AZORult, sebuah perangkat lunak berbahaya yang mencuri informasi yang ditemukan pada 2016. Malware AZORult mengumpulkan informasi yang disimpan di browser web, terutama cookie, riwayat penelusuran, ID pengguna, kata sandi, dan bahkan kunci mata uang digital.

Dengan data yang diambil dari browser ini, hacker bisa mencuri nomor kartu kredit, rincian akun untuk login, dan berbagai informasi sensitif lainnya.

Baca Juga : Pemerintah AS Berbagi Tips Untuk Menghindari Penipuan Siber Berkedok Virus Corona

Alfasi memberikan rincian teknis setelah mempelajari malware, yang tertanam dalam file, biasanya dinamai Corona-virus-Map.com.exe. Ini adalah file Win32 EXE kecil dengan ukuran payload hanya sekitar 3,26 MB.

Mengklik dua kali file membuka jendela yang menampilkan berbagai informasi tentang penyebaran COVID-19. Pusatnya adalah “peta infeksi” yang mirip dengan peta asli dari Universitas Johns Hopkins, sumber online yang sah untuk memvisualisasikan dan melacak kasus virus corona yang dilaporkan secara realtime.

Informasi yang disajikan Malware Coronavirus Map merupakan informasi COVID-19 aktual yang dikumpulkan dari situs web Johns Hopkins. Sehingga tidak terlihat mencurigakan.

Dilansir dari TheHackerNews (12/3), Perlu dicatat, bahwa peta coronavirus asli yang dihosting oleh Johns Hopkins University atau ArcGIS tidak menginfeksi PC kita dan aman untuk diakses. Hanya saja aplikasi versi GUI nya dibuat oleh hacker dengan menyisipkan malware didalamnya.

Perangkat lunak berbahaya ini menggunakan beberapa layer dengan teknik multi-sub-proses yang membuatnya menjadi sulit dideteksi dan dianalisa para peneliti. Selain itu, ada task scheduler yang membuatnya dapat terus beroperasi.


Bagaimana Cara Kerja Malware Coronavirus Map ini?

Ketika Corona-virus-Map.com.exe dijalankan, maka akan menghasilkan duplikat file Corona-virus-Map.com.exe dan beberapa Corona.exe, Bin.exe, Build.exe, dan Windows.Globalization.Fontgroups. file exe.

Corona-virus-Map

Selain itu, malware memodifikasi beberapa register di bawah ZoneMap dan LanguageList. Beberapa mutex juga dibuat. Eksekusi malware mengaktifkan proses berikut: Bin.exe, Windows.Globalization.Fontgroups.exe, dan Corona-virus-Map.com.exe. Upaya ini untuk terhubung ke beberapa URL.

Proses dan URL ini hanyalah contoh dari apa yang diperlukan serangan itu. Ada banyak file lain yang dihasilkan dan proses dimulai. Mereka menciptakan berbagai aktivitas komunikasi jaringan ketika malware mencoba mengumpulkan berbagai jenis informasi.

 

Corona-virus-Map
Penelitian Shai Alfasi tentang alur program malware ini (Sumber: Reason Security)

Satu detail utama adalah analisisnya tentang proses Bin.exe dengan Ollydbg. Dengan demikian, proses menulis beberapa dynamic link libraries (DLL). DLL “nss3.dll” menarik perhatiannya karena itu adalah sesuatu yang ia kenali dari aktor yang berbeda. Alfasi mengamati pemuatan statis API yang terkait dengan nss3.dll. API ini muncul untuk memfasilitasi dekripsi kata sandi yang disimpan serta pembuatan data keluaran.

Ini adalah pendekatan umum yang digunakan oleh pencuri data. Relatif sederhana, ini hanya menangkap data login dari browser web yang terinfeksi dan memindahkannya ke folder C:\Windows\Temp. Itu salah satu keunggulan serangan AZORult, di mana malware mengekstrak data, menghasilkan ID unik komputer yang terinfeksi, menerapkan enkripsi XOR, kemudian memulai komunikasi C2.

Malware membuat panggilan tertentu dalam upaya untuk mencuri data masuk dari akun online umum seperti Telegram dan Steam.

Pembersihan dan Pencegahan

Mungkin terdengar promosi, tetapi Shai Alfasi menyarankan perangkat lunak Reason Antivirus sebagai solusi untuk memperbaiki perangkat yang terinfeksi dan mencegah serangan lebih lanjut. Bagaimanapun, dia berafiliasi dengan Reason Security. Mereka adalah yang pertama menemukan dan meneliti ancaman baru ini, sehingga mereka dapat menanganinya secara efektif.

Perusahaan keamanan lain mungkin sudah mengetahui tentang ancaman ini, karena Reason Security mempublikasikannya pada 9 Maret. Perangkat antivirus atau perlindungan malware mereka akan diperbarui pada saat publikasi. Dengan demikian, mereka mungkin juga mampu mendeteksi dan mencegah ancaman baru.

Mungkin tidak cukup untuk berhati-hati dalam mengunduh dan menjalankan file dari internet, karena banyak orang cenderung terlalu bersemangat dalam mengakses informasi tentang virus corona baru saat ini.

Penyebaran level pandemi COVID-19 patut diwaspadai tidak hanya secara offline (untuk menghindari tertular penyakit) tetapi juga secara online. Penyerang di dunia maya juga mengeksploitasi popularitas sumber daya yang berhubungan dengan coronavirus di web, dan kemungkinan akan banyak yang menjadi mangsa serangan seperti ini.