Awas! Malware Malsmoke Siap Beraksi di Situs Web Porno

MalwareBytes sebagai perusahaan keamanan siber menemukan banyaknya penyebaran eksploitasi kit sepanjang 2020 yang berbeda diantaranya yaitu RIG, Spelevo, Fallout dan Purple Fox. Namun, baru-baru ini timnya menemukan varian malware ZLoader yang menargetkan situs dewasa.

Sebelumnya, varian ZLoader adalah taktik malware yang menargetkan trojan perbankan akan tetapi operator mengubahnya sebagai malware yang mencuri informasi kredensial. Lonjakan dari situs dewasa menjadikan malware Malsmoke aktif di beberapa tempat terutama situs dewasa dengan kunjungan paling banyak tiap bulan-nya seperti xHamster dan Bravo Porn Tube.

MalwareBytes mendeteksi hadirnya malware Malsmoke pada awal tahun namun, operator pembuat malware mengubah strategi di bulan Oktober yang sebelumnya hanya berfokus pada perbankan tapi saat ini berusaha mengelabui korban-nya dengan cara melakukan pembaruan instalasi Java palsu di situs dewasa.

Taktik penyebaran malware Malsmoke diduga mencoba menipu korban dengan halaman umpan yang berisikan adegan film dewasa. Operator juga berusaha membuat skema yang canggih agar korban tertarik melihat dan memutar video tersebut.

Jika melakukan tindakan klik video, maka file tersebut bekerja dengan membuka tab browser baru sebagai pengalihan dan operator juga memasukkan audio beberapa detik untuk meyakinkan dan penasaran terhadap video itu.

Beberapa detik telah usai, korban akan mendapatkan pemberitahuan bahwa mereka diharuskan memasang Java Plug-in agar video yang ia tonton tetap dapat diputar.

Meskipun MalwareBytes mengatakan ini taktik yang sudah lama digunakan yaitu aliran data media dari codec sebagai perangkat lunak untuk kompresi dan dekompresi. Jika tidak di instal, maka media tidak bisa diputar. Beberapa adware dan malware lainnya juga menggunakan teknik ini sebagai wadah penyebaran-nya.

Menurut MalwareBytes, penyebaran malware Malsmoke adalah hal yang paling aneh, sebab untuk melakukan streaming video malah menampilkan pesan pembaruan Java, mengingat itu bukanlah hal yang sesuai untuk solusi tersebut.

Baca Juga: Malware Ghimob Targetkan 153 Aplikasi Mobile Banking

Peneliti MalwareBytes juga mengatakan, bahwa malware Malsmoke versi lampau dengan versi terbaru saat ini memiliki kemiripan mulai dari jaringan penyebaran hinga template yang menggunakan tampilan update Java sebagai umpan.

Skenario lain yang berhasil di identifikasi adalah pelaku pembuat Malsmoke menggunakan alamat email baru dan mendaftarkan domain baru agar tidak dicurigai.

Analisis MalwareBytes Terhadap Malsmoke

Photo: Analisis Malsmoke (MalwareBytes)

Peneliti MalwareBytes, menganalisis bahwa pengembang dari Malsmoke membuat sebuah payload untuk mengunduh jarak jauh dan tidak mudah terdeteksi dan untuk varian yang terbaru ini memiliki loarder tersendiri yaitu installer MSI dan sulit dicurigai.

Canggihnya loader MSI ini merupakan penginstal Microsoft yang ditanda tangani secara sah dan sejumlah berkas file di dalamnya bisa di akses jarak jauh.

Saat instalasi sedang berjalan, lic-service.exe mengunduh file HelperDll.dll sebagai varian ZLoader yang sudah terenkripsi dan HelperDll.dll menggunakan metode curl yang diterapkan di loader MSI untuk mengunduh muatan jahat dari situs moviehunters.site.

Baca Juga: Israel Dibombardir Ransomware oleh Aktor Hacker Iran

Kemudian, ZLoader memuat file terenkripsi ke dalam proses msiexec.exe lalu berkomunikasi dengan server dengan menggunakan kontrol Domain Generation Algorith. Setelah domain merespon atas perintah yang ingin di eksekusi, barulah modul-modul akan di unduh secara otomatis.

Beberapa situs yang menjadi target penyebaran malware Malsmoke diantaranya adalah bravoporn, tsyndicate, d8z1u.bemobtrcks, pornguru, xhamster dan pornislife.

Varian ZLoader ini berfokus dan menargetkan sejumlah situs dewasa dengan traffik tinggi dan menyerang dengan car injeksi ke sebuah web untuk mencuri informasi kredensial perbankan maupun pribadi.