Facebook, sebagai media jejaring social dengan penggunaan terluas didunia, begitu banyak “dikelilingi” oleh malware yang memanfaatkannya untuk mengakses sistem penggunanya. Beberapa diantara malware tersebut bahkan mengalami peningkatan eskalasi.
Win32/Remtasu, salah satu malware berkeliaran didunia maya dan “menanti” korban agar bisa mengakses sistem lewat media social facebook. Hingga kini varian Remtasu sudah berbiak hingga yang terbaru yaitu Win32/Remtasu.AT, yang dideteksi oleh ESET pada 13 Januari 2016 yang lalu. Remtasu sendiri versi awalnya pertama kali dideteksi oleh ESET sejak 20 April 2011, jadi cukup lama juga malware Trojan ini beredar di dunia maya.
Namun dari serangkain varian yang sudah ada dan beredar, ada varian yang dominan di wilayah tertentu. Win32/Remtasu.Y yang belakangan banyak dijumpai dan menyerang sistem milik user di beberapa Negara yaitu Kolombia, Turki, Thailand, dan beberapa Negara lain termasuk Indonesia meski angka prevalensi Win32/Remtasu di Indonesia masih terbilang kecil.
Salah satu upaya penyebaran virus yang disamarkan menjadi malicious tool ditujukan untuk mencuri password akun Facebook berhasil dideteksi oleh ESET. Berikut ini adalah hasil monitoring dan analisa terhadap Malware Trojan yang diidentifikasi oleh ESET sebagai Win32/Remtasu.
Profil Malware Trojan Win32/Remtasu
Pada varian awal Win32/Remtasu.A adalah malware trojan yang mencuri data dan informasi penting dari sistem yang digunakan oleh korban. Trojan ini biasanya tidak bergerak sendiri, ia menjadi bagian dari malware lain. Proses run-time compressed file menggunakan UPX.
Dari analisa yang dilakukan oleh ESET terhadap Remtasu mengungkap pencurian informasi yang tersimpan dalam Windows clipboard dan log keystrokes.
Pada varian Win32/Remtasu.Y Proses run-time compressed file menggunakan RAR SFX sedangkan informasi yang dicuri sama dengan varian A.
Changes in Social Engineering
Sampai tahun lalu, upaya penyebaran malware lewat email marak terjadi. Biasanya berbentuk attachment yang tampil seperti file Microsoft Office, dengan nama file yang bisa memancing penerima email untuk membuka attachment seperti tagihan, rekapitulasi keuangan, dokumen kontrak dan lainnya. Padahal didalamnya attachment tersebut memuat konten virus.
Cara jebakan seperti itu menjadi ancaman bagi banyak pengguna email didunia, sementara itu juga muncul dengan menggunakan mekanisme social engineering lain yakni Facebook. Seperti kita kenal selama ini bahwa Facebook adalah situs jejaring social dengan pengguna terbanyak didunia, dan sebagian besar usernya sangat ingin melakukan control sebaik dan sekuat mungkin terhadap akun di media social facebook.
Meskipun file-file ini dari keluarga malware yang sama seperti yang dideteksi tahun sebelumnya, tapi cara penyebarannya berbeda. Penyebarannya tidak lagi melalui e-mail, tapi berasal dari situs download langsung. Setelah user mendownload dan mengeksekusi file, selanjutnya data mereka akan compromised.
Cara penyebaran beda, tapi perilakunya sama
Salah stau contoh yang dianalisa oleh ESET Research Labs terkait dengan jenis trik tersebut dengan fitur utama yang dapat ditemukan adalah penggunaan UPX compression.
Jika file diuncompressed, maka kita akan melihat fungsi-fungsi yang terdapat di malicious code, sehingga kita bisa tahu besaran atau scope dari threat ini.
Sebagai contoh, varian tersebut punya fitur khusus untuk membuka dan mendapatkan data dan informasi yang dimiliki user didalam clipboard. Varian yang sama juga bisa mengakses data tersebut, kemudian malicious code akan meng-capture keystrokes yang dilakukan pada keyboard lalu menyimpan semua data dan informasi didalam sebuah file, setelah itu mengirimkannya ke sebuah server FTP seperti dapat dilihat pada urutan perintah dibawah ini.
Seperti yang biasa terjadi terkait dengan perilaku virus, maka ia akan mencari cara untuk bisa tetap berada di dalam komputer, bahkan ketika korban me-reboot sistemnya atau mencoba menemukan virus atau threat di list active processes.
Pada kasus ini malware akan me-replikasi diri, menyimpan copy malware di sebuah folder yang sengaja dibuat didalam folder system32. Folder InstallDir baru yang masih tersembunyi didalam system files, akan membuat user kesulitan mengakses sistem files tersebut.
Copy malicious code yang tersimpan tadi kemudian menggunakan nama yang dapat menimbulkan kebingungan di kalangan pengguna, bahkan jika mereka mencari informasi tentang virus di Internet. Berbeda dari contoh sebelumnya, di mana nama file mirip dengan system processes seperti csrss.exe, pada kasus ini nama yang digunakan cukup generik. Hal ini akan menimbulkan keraguan dalam pikiran user, apakah ini proses yang legitimate atau ini adalah proses yang berbahaya atau malicious process.
Win32/Remtasu in 2016
Pada minggu-minggu awal tahun 2016 kami di ESET menyaksikan sudah ada 24 varian yang berbeda dari keluarga malicious code Remtasu yang sudah menyebar, dan lebih dari seperempatnya yang berhasil terdeteksi adalah varian Win32/Remtasu.Y diikuti oleh varian Win32/Remtasu.O sebanyak 23%. Hal ini menunjukkan bahwa hampir separoh dari virus-virus yang berhasil terdeteksi dari keluarga Remtasu adalah dua varian tersebut.
Lebih lanjut terkait dengan data deteksi, sebanyak 65% kehadiran Win32/Remtasu terdeteksi diwilayah Colombia. Sementara Thailand menjadi wilayah deteksi terbesar kedua atau 6%, dengan deteksi terbanyak varian Win32/AutoRun.Remtasu.E, berbeda dengan kasus yang terjadi di wilayh Amerika Selatan. Negara di posisi ketiga, dan keempat adalah Mexico dengan deteksi 3% dan Peru, dengan deteksi 2%.
Sementara prevalensi Win32/Remtasu di Indonesia hingga tulisan ini dibuat, masih terbilang rendah yaitu 0.01%.
Hal penting yang perlu dilakukan untuk menekan resiko adalah melengkapi komputer dengan software keamanan, yang akan bisa membantu mendeteksi konten jahat yang mencoba masuk, menjaga semua aktifitas online Anda, dan memberi perlindungan terhadap threats atau ancaman seperti Remtasu.
ESET Research Labs akan tetap memonitor, mendeteksi dan menganalisa virus-virus untuk menjaga ketersediaan informasi tentang karakteristik dan evolusi threats seperti yang kita bahas saat ini
source : http://www.eset.com/
source : http://www.eset.com/
thanks for your comment...!
visit my blog back for more informatin about IT and Security EmoticonEmoticon