Peneliti keamanan dari perusahaan anti virus ESET baru saja melaporkan bahwa jutaan pengunjung beberapa website telah menjadi korban malware yang disembunyikan dalam iklan. Iklan pembawa malware ini bila mengandung exploit yang menyerang celah keamanan Flash. Iklan ini menampilkan promosi aplikasi “Browser Defence” dan “Broxu“. Contoh iklannya bisa dilihat pada gambar diatas. Bila diklik akan mengarahkan user ke tautan hxxps://browser-defence.com dan hxxps://broxu.com.

Cara Kerja Malware

Script exploit akan mengirimkan informasi tentang komputer korban ke sebuah server. Script eksploit disisipkan dalam gambar yang muncul dalam iklan. Script ini memanfaatkan celah keamanan pada Internet Explorer yaitu CVE-2016-0162. Script malware ini dapat mendeteksi apakah pada komputer korban terdapat aplikasi antivirus. Kemudian script akan melakukan redirect ke sebuah web yang mengandung exploit kit Stegano melalui layanan TinyURL. Web ini memiliki exploit yang memanfaatkan tiga celah keamaan pada Flash (CVE-2015-8651, CVE-2016-1019, CVE-2016-4117).

Kemudian malware akan kembali menguji apakah komputer korban memiliki aplikasi pendeteksi malware. Setelah itu malware akan mengunduh payload yang terenkrepsi dalam bentuk gambar gif. Payload ini kemudian didekripsi dan dijalankan melalui file regsvr32.exe dan rundll32.exe. Peneliti menemukan beberapa macam payload, ada backdoors, banking trojans, spyware, file stealers dan beberapa trojan downloader. Menurut peneliti dari ESET, beberapa payload yang diunduh oleh malware ini adalah:

• Win32/TrojanDownloader.Agent.CFH
• Win32/TrojanDownloader.Dagozill.B
• Win32/GenKryptik.KUM
• Win32/Kryptik.DLIF

Malware yang bersembunyi pada gambar seperti ini seringkali dinamakan stegano exploit kit. Sebenarnya bukan malware baru, karena pernah ditemukan pada tahun 2014. Pada waktu itu banyak ditemukan korban di Belanda. Sementara pada tahun 2015 ditemukan juga malware sejenis di Republik Ceko. Sementara saat ini malware stegano ini banyak dilaporkan di Kanada, Inggis, Australia, Spanyol dand Italia. Malware ini diduga merupakan pengembangan dari malware AdGholas.

Untuk pencegahan infeksi malware ini sebaiknya kita lebih berhati-hati terhadap iklan. Selain itu dapat juga melakukan patch software Flash dan menggunakan aplikasi antivirus. Tentunya jangan lupa untuk selalu mengupdate antivirus kita.

Semoga Bermanfaat!

Analisa lengkap tentang malware ini dapat dilihat pada link berikut:

http://www.welivesecurity.com/2016/12/06/readers-popular-websites-targeted-stealthy-stegano-exploit-kit-hiding-pixels-malicious-ads/

tentang Malware AdGholas:

https://www.proofpoint.com/us/threat-insight/post/massive-adgholas-malvertising-campaigns-use-steganography-and-file-whitelisting-to-hide-in-plain-sight