Para ahli Kaspersky Lab menemukan
serangan ‘in the wild' yang dilakukan
oleh malware baru dengan menggunakan kerentanan zero-day di aplikasi Desktop Telegram. Kerentanan itu digunakan
untuk mendistribusikan malware serbaguna, yang tergantung komputer bisa
digunakan baik sebagai backdoor atau
sebagai alat untuk mengirimkan software
mining. Menurut penelitian, kerentanan ini dieksploitasi secara aktif sejak
Maret 2017 yang berfungsi sebagai penambangan mata uang virtual (cryptocurrency), seperti Monero, Zcash,
dll.
 |
| Aplikasi Telegram - sumber : bgr.in |
Layanan pesan instan telah lama menjadi bagian penting dari kehidupan
kita yang selalu terhubung, dan memang pada dasarnya dirancang untuk membuat
penggunanya agar lebih mudah berkomunikasi dengan teman dan sanak keluarga. Namun,
pada saat yang sama layanan ini dapat secara signifikan mempersulit keadaan
jika mereka mengalami serangan siber. Misalnya, bulan lalu Kaspersky Lab
menerbitkan sebuah laporan penelitian mengenai malware mobile canggih, Trojan Skygofree,
yang mampu mencuri pesan WhatsApp. Penelitian terbaru menunjukkan bahwa para
ahli dapat mengidentifikasi serangan 'in
the wild' dengan kerentanan baru yang sebelumnya tidak dikenal di versi
desktop dari layanan pesan instan populer lainnya.
Menurut penelitian, kerentanan zero-day
Telegram didasarkan pada metode Unicode
RLO (right-to-left override). Hal ini umumnya digunakan untuk pengkodean
bahasa yang ditulis dari kanan ke kiri, seperti bahasa Arab atau bahasa Ibrani.
Selain itu, hal ini juga dapat digunakan oleh pencipta malware untuk
menyesatkan pengguna agar mengunduh file berbahaya yang disamarkan, misalnya
sebagai gambar.
Penyerang menggunakan karakter Unicode
tersembunyi dalam nama file yang dapat membalik urutan karakter, sehingga
mengganti nama file itu sendiri. Akibatnya, pengguna mengunduh malware
tersembunyi yang kemudian dipasang di komputer mereka. Kaspersky Lab kemudian melaporkan
kerentanan ini kepada Telegram dan, pada saat laporan ini dipublikasikan, kerentanan
zero-day sudah tidak lagi ada sejak terakhir
kali dilakukan pengamatan pada layanan pesan instan ini.
Selama proses analisis, para ahli Kaspersky Lab mengidentifikasi
beberapa skenario eksploitasi zero-day
“in the wild” oleh
para pelaku ancaman. Pertama, kerentanan itu dimanfaatkan
untuk mengirimkan malware mining, yang dapat membahayakan pengguna secara
signifikan. Dengan menggunakan kekuatan komputasi PC milik korban, penjahat siber menciptakan berbagai jenis cryptocurrency termasuk Monero, Zcash,
Fantomcoin dan lain-lain. Selain itu, saat menganalisis server pelaku ancaman, ahli Kaspersky Lab menemukan arsip berisi cache lokal Telegram yang telah dicuri dari
korban.
Kedua, setelah berhasil mengeksploitasi kerentanan, sebuah backdoor yang
menggunakan API Telegram sebagai protokol command
and control telah terinstal, yang
memberikan hacker akses jarak
jauh ke komputer milik korban. Setelah instalasi, alat ini mulai beroperasi dalam mode senyap, yang memungkinkan pelaku ancaman tetap tidak terdeteksi dalam jaringan dan menjalankan perintah
yang berbeda termasuk pemasangan alat-alat spyware
lebih lanjut.
Artefak yang ditemukan selama penelitian menunjukkan bahwa asal-usul pelaku
ancaman dari Rusia.
"Popularitas layanan pesan instan sangat tinggi, dan sangat penting bahwa pengembang memberikan perlindungan yang tepat bagi penggunanya sehingga mereka tidak menjadi sasaran empuk para penjahat siber. Kami telah menemukan beberapa skenario eksploitasi zero-day ini, selain malware dan spyware umum, yang digunakan untuk mengirimkan malware mining - infeksi semacam ini telah menjadi tren global yang telah kita lihat sepanjang tahun lalu. Selanjutnya, kami percaya ada cara lain untuk menyalahgunakan kerentanan zero-day ini" ungkap Alexey Firsh, Malware Analyst, Targeted Attacks Research, Kaspersky Lab.
Solusi dari Kaspersky Lab berhasil mendeteksi dan memblokir kasus
eksploitasi yang ditemukan pada kerentanan ini.
Untuk melindungi PC
Anda dari infeksi, Kaspersky Lab merekomendasikan langkah-langkah pencegahan
berikut ini:
· Jangan mengunduh
dan membuka file yang tidak diketahui dari sumber yang tidak tepercaya,
· Cobalah
untuk menghindari berbagi informasi pribadi yang sensitif dalam layanan pesan
instan;
· Pasang solusi keamanan yang handal seperti Kaspersky Internet Security atau Kaspersky Free yang mendeteksi serta melindungi Anda dari
semua kemungkinan ancaman, termasuk software
mining berbahaya.
Pelajari lebih lanjut tentang kerentanan zero-day yang ditemukan, termasuk detail teknis, pada postingan
blog di Securelist.com.
Post a Comment