Sekelompok penjahat cyber telah berhasil menginfeksi sebanyak 1 Juta komputer di seluruh dunia selama dua tahun terakhir dengan malware yang membajak "search results pages" menggunakan proxy lokal. Peneliti keamanan dari perusahaan keamanan berbasis Rumania - BitDefender mengungkapkan adanya botnet click-fraud botnet, para peneliti keamanan memberi nama "Million-Machine Campaign".
Bagi mereka yang tidak menyadari, Botnet menyerang jaringan komputer yang terinfeksi malware yang dirancang khusus untuk mengambil kendali dari sistem yang terinfeksi tanpa sepengetahuan pemilik dan berpotensi digunakan untuk meluncurkan denial-of-service (DDoS). Malware tersebut juga dikenal sebagai Redirector.Paco dan telah banyak menginfeksi jaringan komputer di seluruh dunia sejak rilis pada tahun 2014.
Redirector.Paco Trojan menginfeksi pengguna ketika mereka men-download dan menginstal program perangkat lunak populer yang telah terinfeksi seperti WinRAR, YouTube Downloader, KMSPico, Connectify serta beberapa aplikasi lainnya. Setelah terinfeksi, Paco memodifikasi kunci registri lokal komputer dan menambahkan dua entri baru untuk menyamar sebagai "Adobe Flash Update" dan "Adobe Flash Scheduler" dan memastikan malware tersebut berjalan setiap proses boot-up komputer.
Selain itu, malware ini juga menggunakan file JavaScript untuk menerapkan PAC (Proxy Auto Configuration) file untuk membajak semua lalu lintas web, memastikan rute lalu lintas korban dikendalikan oleh server penyerang. Paco kemudian menyamarkan hasil mesin pencari populer seperti Google, Bing, atau Yahoo! dan mengganti hasil aktual dengan halaman Web palsu. Botnet memiliki kemampuan untuk mengarahkan hasil mesin pencari yang dihasilkan dari koneksi HTTPS. Untuk melakukannya, malware menggunakan free root certificate - DO_NOT_TRUST_FiddlerRoot - yang berguna untuk menghindari browser menampilkan HTTPS errors.
"Tujuannya adalah untuk membantu penjahat cyber mendapatkan uang dari program AdSense," kata BitDefender Alexandra Gheorghe dalam posting blog. "Google's AdSense for Search program menempatkan iklan kontekstual yang relevan pada halaman hasil pencarian Custom Search Engine dan juga menampilkan pendapatan iklan dengan mitra AdSense."
Meskipun malware mencoba untuk membuat hasil pencarian yang terlihat otentik, namun pada kenyataanya beberapa dapat menimbulkan kecurigaan, seperti pesan yang menunjukkan "Waiting for proxy tunnel" atau "Downloading proxy script" di status bar browser web Anda. Selain itu, mesin pencari membutuhkan waktu lebih lama dari biasanya untuk memuat hasil, dan khas kuning 'O' karakter di Google di atas nomor halaman tidak ditampilkan, menurut para peneliti. Perusahaan keamanan mengatakan bahwa mayoritas korban berasal dari India, Malaysia, Yunani, Amerika Serikat, Italia, Pakistan, Brazil, dan Aljazair.
Bagi mereka yang tidak menyadari, Botnet menyerang jaringan komputer yang terinfeksi malware yang dirancang khusus untuk mengambil kendali dari sistem yang terinfeksi tanpa sepengetahuan pemilik dan berpotensi digunakan untuk meluncurkan denial-of-service (DDoS). Malware tersebut juga dikenal sebagai Redirector.Paco dan telah banyak menginfeksi jaringan komputer di seluruh dunia sejak rilis pada tahun 2014.
Redirector.Paco Trojan menginfeksi pengguna ketika mereka men-download dan menginstal program perangkat lunak populer yang telah terinfeksi seperti WinRAR, YouTube Downloader, KMSPico, Connectify serta beberapa aplikasi lainnya. Setelah terinfeksi, Paco memodifikasi kunci registri lokal komputer dan menambahkan dua entri baru untuk menyamar sebagai "Adobe Flash Update" dan "Adobe Flash Scheduler" dan memastikan malware tersebut berjalan setiap proses boot-up komputer.
Selain itu, malware ini juga menggunakan file JavaScript untuk menerapkan PAC (Proxy Auto Configuration) file untuk membajak semua lalu lintas web, memastikan rute lalu lintas korban dikendalikan oleh server penyerang. Paco kemudian menyamarkan hasil mesin pencari populer seperti Google, Bing, atau Yahoo! dan mengganti hasil aktual dengan halaman Web palsu. Botnet memiliki kemampuan untuk mengarahkan hasil mesin pencari yang dihasilkan dari koneksi HTTPS. Untuk melakukannya, malware menggunakan free root certificate - DO_NOT_TRUST_FiddlerRoot - yang berguna untuk menghindari browser menampilkan HTTPS errors.
"Tujuannya adalah untuk membantu penjahat cyber mendapatkan uang dari program AdSense," kata BitDefender Alexandra Gheorghe dalam posting blog. "Google's AdSense for Search program menempatkan iklan kontekstual yang relevan pada halaman hasil pencarian Custom Search Engine dan juga menampilkan pendapatan iklan dengan mitra AdSense."
Meskipun malware mencoba untuk membuat hasil pencarian yang terlihat otentik, namun pada kenyataanya beberapa dapat menimbulkan kecurigaan, seperti pesan yang menunjukkan "Waiting for proxy tunnel" atau "Downloading proxy script" di status bar browser web Anda. Selain itu, mesin pencari membutuhkan waktu lebih lama dari biasanya untuk memuat hasil, dan khas kuning 'O' karakter di Google di atas nomor halaman tidak ditampilkan, menurut para peneliti. Perusahaan keamanan mengatakan bahwa mayoritas korban berasal dari India, Malaysia, Yunani, Amerika Serikat, Italia, Pakistan, Brazil, dan Aljazair.
0 comments:
Post a Comment