Tim Riset Hewlett Packard (HP) Wolf Security menemukan Malware Installer Windows yang tersedia di sebuah laman web. Laman web windows-upgraded*dot*com ini dibuat menyerupai unduhan pembaruan Windows 11. Pemmzchannel menyarankan kalian untuk berhati-hati saat mengunduh pembaruan dan membagikan informasi ini kepada keluarga atau kerabat.
Malware yang disematkan di installer Windows 11 ini mengumpulkan dan mencuri data pribadi pengguna. Data pribadi ini dapat mencakup password, informasi kartu kredit, dan dompet crypto.
Malware Installer Windows 11 Palsu Beredar
Seorang atau kumpulan peretas mencoba mengekspos informasi pribadi pengguna Windows, dengan membuat laman web yang serupa seperti laman pembaruan. Mereka menggunakan domain windows-upgraded*dot*com dan menyematkan sebuah malware yang dikamuflase seperti installer Windows 11. Perlu diperhatikan bahwa laman web resmi Microsoft adalah microsoft.com.
Laman web palsu windows-upgraded*dot*com telah dianalisa oleh tim peneliti ancaman HP. Mereka menemukan bahwa malware yang digunakan adalah RedLine Stealer, sebuah perangkat untuk untuk mencuri berbagai informasi pribadi pengguna. Bila kamu mengunjungi situs web ini, tampilan web tampak seperti situs web resmi pemasang Windows 11. Namun bila kamu mengunduhnya, kamu akan mengunduh file yang dihost dari jaringan (CDN) Discord.
File tersebut dinamakan Windows11InstallationAssistant.zip oleh peretas dengan ukuran 1,5MB. Saat dilakukan pengesktrakan, akan berisi enam DLL Windows, file XML, dan file executable portabel dengan ukuran 753 MB – jauh dari ukuran aslinya. Menandakan bahwa adanya padding yang sangat dikompresi.
Peneliti HP mengatakan “Ini berarti (file) memiliki rasio kompresi yang mengesankan di 99,8%. Jauh lebih besar daripada rasio kompresi zip rata-rata untuk file yang dapat dieksekusi di 47%”. Padding yang dapat dikompresi ini dapat dilihat melalui hex editor. Meski begitu, padding yang ada terlihat seperti sekumpulan kode byte 0x30 dan tidak berdampak pada pengoperasian file.
Kemungkinan dilakukan untuk menghindari deteksi dari aplikasi anti virus. Ketika file tersebut dijalankan, file akan mengunduh dan menjalankan malware RedLine Stealer. Malware ini dapat yang mencoba mencuri informasi password, informasi kartu kredit, dan dompet crypto. Setelah itu aplikasi mengirimkan informasi ini ke peretas.
Sebelumnya HP juga pernah menemukan serangan lain pada tahun 2021. Peretas menggunakan teknik serupa untuk membuat halaman web Discord. Menggunakan nama Discord namun salah eja untuk mengelabui pengguna. Pengguna akan mengunduh aplikasi yang menyamar sebagai Discord. HP mencatat serangan ini menggunakan server DNS, malware, dan pencatat domain yang sama dengan pembaruan Windows 11 palsu ini.
Antisipasi Malware Installer Windows
Sebagai antisipasi, kamu dapat mengunduh pembaruan melalui halaman unduhan resmi Microsoft di microsoft.com. Kamu juga dapat menggunakan file .iso Windows 11 asli dari sumber terpercaya. Dengan ini kamu dapat mengatasi kemungkinan pencurian data an terhindari dari malware serupa. Atau lebih sederhananya lagi, jangan dulu melakukan pembaruan ke Windows 11.
Sebuah perusahaan keamanan, Sophos, memperingatkan bahwa penggunaan Discord sebagai distribusi malware jauh meningkat. Pada tahun 2021 tercatat 4% unduhan malware yang dilindungi TLS berasal dari Discord. Platform ini memungkinkan unggahan dan unduhan file semakin mudah untuk dijangkau oleh pengguna.
Target utama dari operasi ini adalah para gamer dan member komunitas. Kebetulan Discord telah berkembang begitu banyak dalam popularitas dan cakupan, sehingga menjadi target penyerang yang ingin mengeksploitasi jutaan penggunanya. Akhirnya mengeksploitasi CDN-nya untuk hosting file malware.
Peneliti keamanan di RiskIQ milik Microsoft menguraikan bagaimana CDN Discord digunakan untuk menampung berbagai jenis malware. Cara umum bagi peretas untuk menyisipkan malware ke komputer pengguna adalah dengan menautkan link domain Discord dengan tautan dalam format: hxxps://cdn.discordapp*dot*(com/attachments/{ChannelID}/{ AttachmentID}/{filename}.
URL ini dapat diarahkan oleh peretas ke URL lain yang tampak legit ke server Discord yang menghosting file. Sementara itu, Discord sendiri sedang mencoba membasmi malware yang disisipkan ini. Namun peran penting tetap berada di tangan pengguna. Sebaiknya tetap berhati-hati sata mengakses situs web dengan memeriksa domain dan memastikan domain tersebut resmi dibuat oleh pihak yang bersangkutan.
Baca juga: