Malware Penambang Mata Uang Virtual Susupi Telegram

Logo Aplikasi Telegram

Liputan6.com, Jakarta - Kaspersky Lab memaparkan beberapa bukti terkait kerentanan versi desktop dari Telegram terhadap serangan malware.

Malware ini, kata Kaspersky, memungkinkan penyerangnya untuk meg-install penambang mata uang virtual semacam Bitcoin dan lain-lain pada komputer pengguna.

Berdasarkan keterangan tertulis yang diterima Tekno Liputan6.com, Rabu (14/2/2018), para ahli menemukan serangan tersebut dilakukan malware baru yang memanfaatkan celah keamanan di aplikasi dekstop Telegram.

Menurut penelitian, kerentanan ini dieksploitasi secara aktif sejak Maret 2017 yang berfungsi sebagai penambangan mata uang virtual seperti Monero, Zcash, dan lain-lain.

Menurut penelitian, kerentanan zero-day Telegram didasarkan pada metode Unicode RLO (right-to-left override). Umumnya metode ini digunakan untuk pengkodean bahasa yang ditulis dari kanan ke kiri, seperti bahasa Arab atau bahasa Ibrani.

Selain itu, metode ini juga dapat digunakan oleh pencipta malware untuk menyesatkan pengguna agar mengunduh file berbahaya yang disamarkan, misalnya sebagai gambar.

Penyerang menggunakan karakter Unicode tersembunyi dalam nama file yang dapat membalik urutan karakter, sehingga mengganti nama file tersebut.

2 dari 3 halaman

Pelaku Diduga dari Rusia

Akibatnya, pengguna mengunduh malware tersembunyi yang kemudian dipasang di komputer mereka. Kaspersky Lab pun telah melaporkan kerentanan ini kepada Telegram.

Pada saat laporan ini dipublikasikan, kerentanan zero-day sudah tidak lagi ada sejak terakhir kali dilakukan pengamatan pada layanan pesan instan ini.

Selama proses analisis, para ahli Kaspersky Lab mengidentifikasi beberapa skenario eksploitasi zero-day oleh para pelaku. Pertama, kerentanan itu dimanfaatkan untuk mengirimkan malware mining, yang dapat membahayakan pengguna secara signifikan.

Dengan menggunakan kekuatan komputasi PC milik korban, penjahat siber menciptakan berbagai jenis mata uang virtual termasuk Monero, Zcash, Fantomcoin dan lain-lain.

Selain itu, saat menganalisis server pelaku ancaman, ahli Kaspersky Lab menemukan arsip berisi cache lokal Telegram yang telah dicuri dari korban.

Kedua, setelah berhasil mengeksploitasi kerentanan, sebuah backdoor yang menggunakan API Telegram sebagai protokol command and control telah terinstal. Protokol ini memberikan hacker akses jarak jauh ke komputer milik korban.

Setelah instalasi, alat ini mulai beroperasi dalam mode senyap, yang memungkinkan pelaku ancaman tetap tidak terdeteksi dalam jaringan dan menjalankan perintah yang berbeda termasuk pemasangan software pengintai lebih lanjut.

Selama penelitian, ditemukan beberapa bukti bahwa asal usul pelaku ancaman ada di Rusia.

3 dari 3 halaman

Jangan Bagikan Informasi Pribadi Lewat Pesan Instan

Malware Analyst, Targeted Attacks Research Kaspersky Lab Alexey Firsh mengatakan, layanan pesan instan sangat populer saat itu. Untuk itu, perlu bagi pengembang untuk memberi perlindungan agar pengguna tak jadi sasaran penjahat siber.

"Kami telah menemukan beberapa skenario eksploitasi zero-day ini, selain malware dan spyware umum, yang digunakan untuk mengirimkan malware mining, infeksi semacam ini telah menjadi tren global yang telah kita lihat sepanjang tahun lalu," kata Firsh.

Untuk melindungi PC pengguna dari infeksi, Kaspersky Lab merekomendasikan langkah-langkah pencegahan, misalnya jangan mengunduh dan membuka file yang tak diketahui sumbernya.

Kedua, pengguna disarankan untuk menghindari berbagi informasi pribadi di layanan pesan instan.

Ketiga, pengguna bisa memasang solusi keamanan seperti Kaspersky Internet Security atau Kaspersky Free yang mendeteksi dari kemungkinan ancaman siber.

(Tin/Ysl)

Saksikan Video Pilihan Berikut Ini:

Berhati-hati pada rasa penasaran untuk membuka lampiran email yang mencurigakan di Mac anda.