Sering Berkunjung ke Situs Web Porno? Awas, Varian Malware Zloader Mengintai Anda
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Perusahaan keamanan siber, Malwarebytes, menemukan distribusi perangkat lunak jahat (malware) varian Zloader. Malware ini sebelumnya terkenal sebagai trojan perbankan, kemudian mengubah taktik sebagai malware pencuri informasi.
Peneliti Malwarebytes menyebut varian tersebut bernama“Malsmoke”. Operator di balik malware ini menargetkan para pengunjung situs web porno dengan trafik tinggi, seperti xHamster dan Bravo Porn Tube.
Dikutip dari Bleeping Computer, diakses Rabu (18 November 2020), peneliti mengamati aksi Malsmoke sejak awal tahun. Peretas mendistribusikan “Smoke Loader—malware dropper—melalui exploit kit “Fallout” hingga Oktober lalu.
"Operator ini beralih ke teknik baru yang bekerja di semua browser dengan menggunakan halaman umpan berisi potongan adegan dewasa yang seolah-olah sebagai film," tulis peneliti MalwareByte.
Dengan video palsu di situs web dewasa, peretas berupaya memikat pengunjung untuk memutarnya.
File yang digunakan untuk menjebak itu, saat diklik akan terbuka di jendela browser baru. Korban akan mendapatkan tampilan gambar berpiksel dan audio beberapa detik untuk membuat penasaran.
Setelah beberapa detik, korban akan melihat pesan overlay yang memberi tahu bahwa Java Plug-in perlu dipasang agar video dapat diputar dengan benar.
Menurut MalwareByte, trik ini merupakan trik lama, ketika aliran data media biasa dikodekan dengan berbagai codec (software yang kompresi-dekompresi). Dengan demikian, media tidak dapat diputar tanpa menginstal codec yang benar.
Padahal, pada saat itu ada banyak codec dan pemutar media palsu, di antaranya yang berbahaya yang mengandung adware dan malware.
Operator Malsmoke membuat video "tipuan" tersebut secara khusus, agar terlihat seperti beberapa software yang hilang. Namun, peneliti mencatat, operator menampilkan update Java sebagai solusi untuk masalah streaming video tadi adalah pilihan yang aneh.
“Pelaku ancaman bisa saja merancang pembaruan plug in palsu ini dalam bentuk apa pun, tapi pilihan Java agak aneh, mengingat itu biasanya tidak terkait dengan streaming video. Namun, mereka yang mengklik dan men-download pembaruan mungkin tidak menyadarinya," ujar peneliti.
MalwareByte mengatakan, ZLoader tidak pernah aktif sejak awal 2018 tetapi muncul kembali di lebih dari 100 aksi email jahat dalam enam bulan sejak Desember 2019 dengan sejumlah varian.
Varian ZLoader yang ada saat ini mempertahankan fungsi utama dan menggunakan injeksi web untuk mencuri kredensial, informasi perbankan, dan detail sensitif yang disimpan di browser (cookie, sandi).[]
Redaktur: Andi Nugroho
