Di Tengah Pandemi Virus Corona, Pelaku Kejahatan Siber Sebarkan Malware untuk Phising
Abadikini.com, JAKARTA – Peneliti keamanan siber menyebut muncul situs palsu yang mengatasnamakan diri sebagai peta virus corona SARS-COV-2. Padahal situs tersebut telah disusupi malware.
Pelaku kejahatan siber membuat situs yang menyajikan peta persebaran virus corona di seluruh dunia, mirip dengan yang dibuat oleh Universitas Johns Hopkins. Ini adalah salah satu situs peta penyebaran corona yang paling komprehensif.
Malware ini terunduh dan dipasang ke perangkat pengguna ketika mereka melakukan pencarian soal peta penyebaran virus corona di internet.
File yang diunduh itu memang menampilkan peta persebaran corona namun dibalik layar, malware tengah bekerja. Malware jenis AZORult segaja disusupi di situs yang menjanjikan untuk menyajikan informasi soal Covid-19.
Malware ini akan mengambil beberapa informasi sensitif seperti nomor kartu kredit, kredensial login, dan informasi lainnya.
Menurut analis keamanan siber dari Reason Labs, Shai Alfasi, malware AZORult mendapat data tersebut dari hasil mengumpulkan informasi yang disimpan di browser web dan riwayat penelusuran.
“Malware AZORult sendiri diketahui telah lama dibahas oleh salah satu forum bawah tanah Rusia, sebagai alat untuk mengumpulkan data sensitif dari komputer,” tulis Alfasi lewat situs Reason Secutiry dikutip Hacker News.
Wabah virus corona novel (Covid-19) yang semakin masif, banyak masyarakat dunia yang berlomba-lomba mencari informasi soal virus itu secara online.
Alhasil, perilaku itu dimanfaatkan oleh sejumlah pelaku kejahatan siber demi meraup keuntungan dengan mencuri beberapa informasi pribadi lewat situs palsu yang sengaja dibuat terkait corona.
Lebih lanjut, analisis Alfasi lewat blog Reason Security menunjukkan bahwa malware tertanam di dalam file yang diberi nama Corona-virus-Map.com.exe. File ini merupakan jenis Win32 EXE dengan ukuran payload 3,26MB.
Pada situs tersebut, jumlah kasus yang dikonfirmasi di berbagai negara disajikan di sisi kiri sementara statistik jumlah kematian dan pemulihan pasien corona ditempatkan di sebelah kanan.
Pelaku menggunakan API untuk mendeskripsikan kata sandi yang disimpan. Hal ini merupakan metode umum yang digunakan oleh para pencuri data.
Alfasi menyebut tindakan mereka cukup sederhana, karena hanya menggaet data login dari browser yang terinfeksi dan memindahkannya ke folder C:\Windows\Temp.
Ia menilai hal itu merupakan salah satu keunggulan malware AZORult, di mana malware mengekstrak data, menghasilkan ID yang unik, menerapkan enkripsi XOR, dan memulai komunikasi C2.
Alfasi pun membeberkan bagaimana cara menghapus dan menghentikan AZORult, yaitu dengan menyematkan sistem perlindungan malware yang tepat. Sebab, bakal sulit jika menghapus infeksi menggunakan cara konvensional.
