Jika kamu selama dua bulan terakhir ini pernah mengunjungi website mainstream populer, kemungkinan perangkat kamu sudah terinfeksi. Karena kali ini para peniliti keamanan menemukan exploit kit baru yang bisa meretas hanya dengan file image.
Para peniliti dari penyedia antivirus ESET merilis sebuah laporan baru pada hari Selasa kemarin. Laporan tersebut menyatakan bahwa mereka menemukan sebuah exploit kit bernama Stegano. Kode berbahaya yang bersembunyi dalm pixel banner iklan yang saat ini berada dalam perputaran beberapa situs-situs bertrafik tinggi.
Stegano awalnya mulai ditemukan pada tahun 2014. Tapi sejak awal Oktober tahun ini, para cyber crime sudah berhasil merubah iklan yang ditampilkan di berbagai situs-situs terkemuka menjadi berbahaya. Situs-situs terkemuka yang tidak disebutkan namanya tersebut memiliki jutaan pengunjung setiap harinya.
Stegano berasal dari kata Steganografi. Yaitu teknik menyembunyikan pesan/konten dalam gambar grafis digital. Teknik ini membuat pesan/konten tak kasat mata. Dalam kampanye malvertising khusus ini, operator menyisipkan kode berbahaya ke dalam file transparan PNG Alpha Channel. Yang mendefinisikan transparansi setiap pixel dengan mengubah nilai transparansi beberapa pixel.
Lalu kemudian operator tersebut memasukan kode berbahaya ke dalam gambar yang nantinya berubah sebagai iklan. Dan hal itu berhasil menampilkan iklan-iklan berbahaya di beberapa situs bertrafik tinggi.
Beginilah Cara Stegano Attack Bekerja:
Setelah pengguna mengunjungi situs yang menampilkan iklan berbahaya, script berbahaya yang tertanam dalam iklan melaporkan informasi tentang komputer korban. Informasi tersebut kemudian dikirimkan ke server jarak jauh milik penyerang tanpa berinteraksi dengan pengguna.
Kode berbahaya ini kemudian menggunakan kerentanan CVE-2016-0162 di browser Microsoft Internet Explorer (IE) untuk memindai komputer target. Pemindaian ini bertujuan untuk mengetahui apakah malware ini sudah berjalan atau tidak.
Setelah browser yang ditarget sudah memverifikasi, kode berbahaya ini mengalihkan browser ke website yang menghost Flash Player. Lalu mengeksploitasi 3 kerentanan yang terdapat dalam Flash Player yaitu kerentanan CVE–2015-8651, CVE-2016-1019, dan CVE-2016-4117.
Saat malware diunduh ke komputer korban, muatan malware yang terenkripsi ini kemudian didekripsi. Setelah itu lalu diluncurkan melalui file regsvr32.exe atau rundll32.exe dalam Microsoft Windows.
Hanya Mengunjungi Situs, Kamu Akan Berhasil Diretas Dalam Waktu 2-3 Detik
Gambar dibawah ini akan menjelaskan bagaimana serangan Stegano ini bekerja:
Semua operasi diatas mengeksekusi perintah secara otomatis tanpa interaksi terlebih dahulu dengan pengguna. Dan operasi tersebut berlangsung dalam rentang waktu hanya 2-3 detik. Sejauh ini exploit kit Stegano sudah berhasil memaksa pengunduhan file trojan, Ursnif and Ramnit banking trojans, backdoors, spyware, dan pencuri berkas.
Exploit kit Stegano ini awalnya digunakan pada tahun 2014 untuk menargetkan orang-orang di Belanda. Kemudian pada tahun 2015 menargetkan orang-orang di Republik Ceko. Dan serangan terbarunya menargetkan orang-orang di Kanada, Inggris, Australia, Spanyol, dan Italia.
Mungkin cara terbaik untuk melindungi diri terhadap serangan ini selalu memastikan kamu menjalankan software/aplikasi versi terbarunya. Juga menggunakan software antivirus terkenal yang dapat mendeteksi ancaman tersebut sebelum sistem/perangkat kamu terinfeksi.
