Menyaru sebagai WHO, Penjahat Siber Sebar Trojan FormBook

Cyberthreat.id – Wabah penyakit corona (Covid-19) benar-benar dimanfaatkan para penjahat siber untuk mengambil keuntungan.

Mereka berpura-pura menyebarkan informasi dengan mencatut nama Badan Kesehatan Dunia (WHO) Perserikatan Bangsa-Bangsa. Para penjahat siber tersebut, seperti dilaporkan Bleeping Computer, Sabtu (7 Maret 2020), menebar ancaman dengan malware trojan pencuri informasi bernama “ FormBook”.

Aktor di balik serangan itu pertama-pertama menyebarkan malware yang disisipkan dalam email berisi tentang wabah corona atas nama WHO.

Email berisi lampiran file ZIP yang menyatakan ada informasi terkini dari WHO menyangkut corona, termasuk alamat email phishing: corona-virus@caramail.com. Email itu meminta pengguna untuk melihat tautan dengan file bernama “MY-HEALTH.PDF” melalui peramban (browser).

Lampiran file ZIP tersebut berisi file executable bernama “MyHealth.exe” yang ingin ditularkan penyerang via “MyHealth.PDF” yang disebutkan dalam email.

Peneliti MalwareHunterTeam, yang menemukan aksi spam ini, mengatakan, “GuLoader” adalah alat pengunduh malware. Setelah dieksekusi, GuLoader akan mengunduh file terenkripsi dari https://drive.google.com, mendekripsi isinya, dan kemudian menyuntikkan malware ke dalam proses wininit.exe yang sah untuk menghindari deteksi.

Sekadar diketahui, wininit.exe bertanggung jawab untuk menjalankan proses Inisialisasi Windows (Windows Initialization). Ini adalah file Windows yang penting dan tidak boleh dihapus. Inisialisasi Windows adalah peluncur untuk sebagian besar aplikasi sistem latar belakang yang berjalan secara konsisten. Ini proses Windows yang penting agar sistem operasi berfungsi dengan baik. Jika menghapusnya dapat menyebabkan kesalahan sistem. 

Malware yang diunduh adalah trojan FormBook, yang oleh FireEye (perusahaan cybersecurity AS) memiliki kemampuan mencuri konten clipboard di Windows, mencatat apa yang pengguna ketik di keyboard, dan mencuri data saat pengguna menjelajahi web.

Malware tersebut juga dapat mengeksekusi perintah dari server perintah dan kontrol (C2) milik penyerang. Perintah itu termasuk menginstruksikan malware untuk mengunduh file, memulai proses, mematikan dan me-reboot sistem, serta mencuri cookie dan kata sandi lokal.

Dengan menggunakan malware tersebut, penyerang dapat mencuri kredensial perbankan, kredensial login situs web, cookie yang memungkinkan penjahat untuk masuk ke situs sebagai korban, dan konten clipboard Windows.

Keterangan: gambar [1] email spam yang disebarkan penjahat, gambar [2] tampilan email bila diakses melalui peramban (browser), dan gambar [3] berupa lampiran dari email phishing. | Sumber: Bleeping Computer

Oleh karenanya, publik diimbau agar tidak tegesa-gesa mengklik informasi tentang corona dari WHO. Disarankan agar pengguna memindai komputer dengan perangkat lunak antivirus sesegera mungkin.

Saat menerima email, pengguna disarankan tidak boleh membuka lampiran apa pun, kecuali telah mengonfirmasi sang pengirim. Diskusikan email terlampir dengan administrator jaringan untuk menyakinkan bahwa lampiran email tersebut aman.

WHO juga mengeluarkan peringatan terkait penipuan berkedok corona, sebagai berikut:

• WHO tidak pernah meminta pengguna, melakukan login untuk melihat informasi keselamatan
• WHO tidak pernah mengirim email lampiran yang tidak pengguna minta
• WHO tidak pernah meminta pengguna untuk mengunjungi tautan di luar alamat ini: www.who.int
• WHO tidak pernah membebankan biaya uang untuk melamar pekerjaan, mendaftar untuk konferensi, atau memesan hotel
• WHO tidak pernah melakukan lotere atau menawarkan hadiah, hibah, sertifikat, atau pendanaan melalui email
• WHO tidak pernah meminta pengguna untuk menyumbang langsung ke rencana tanggap darurat atau permohonan pendanaan.
• Jika pengguna menerima email yang mengaku berasal dari WHO dan memiliki lampiran, cukup tandai sebagai spam dan hapus.[]

Redaktur: Andi Nugroho