Awas, Pencuri Data Bersembunyi di Flash

Modus pencurian data terbaru muncul dengan memanfaatkan Flash. Modus ini membuat perusahaan pencipta Flash, Adobe buru-buru mengeluarkan update untuk Flash Player guna menambal lubang kemanan tersebut.

Dua peneliti di firma Kaspersky Lab diberitakan PC World (5/2/2014) memiliki temuan baru bahwa Flash Player bisa digunakan untuk menyebarkan malware yang bisa digunakan untuk mencuri data penting seperti log-in email atau layanan online lainnya.

Dalam blog resmi Kaspersky yang ditulis pada Rabu (5/2/2014), tercatat terdapat sebelas file SWF (Flash) yang bisa memiliki lubang keamanan ini, namun menurut peneliti di Kaspersky, hanya satu yang mengandung file executable sebagai payload.

File pencuri data lainnya didesain untuk menjalankan file .exe dari URL yang dikirim sebagai parameter. Sayangnya peneliti tidak berhasil mengidentifikasi URL aktual yang digunakan penyerang atau file yang dituju.

Beberapa file SWF juga terintegrasi dengan file .docx atau dokumen Microsoft Word yang mengandung nama Korea namun ditemui di komputer yang terletak di China.

Dokumen tersebut dikirim melalui sebuah e-mail dengan lampiran di mana alamat e-mailnya terdaftar dari 163.com, sebuah provider e-mail dari China. File tersebut kemudian dibuka dari komputer Mac yang menjalankan OS 10.6.8. Untungnya, file exploit tersebut nampaknya menarget pengguna Windows.

Dua kasus lain yang terjadi menyangkut file SWF jahat yang terkandung dalam dokumen docx ditemui di Windows 7. File tersebut bersembunyi di file cache dari browser Internet, lebih tepatnya Sogou Explorer, browser buatan China.

Temuan tersebut membuat tim Kaspersky yakin bahwa file exploit tersebut tidak menyebar melalui e-mail.

Satu-satunya payload yang berhasil di-recover memiliki sebuah file executable yang berperan sebagai downloader untuk file malware lainnya. Tim di Kaspersky mengklaim berhasil me-recover dua file seperti itu.

File pertama merupakan program Trojan yang didesain untuk mencuri data-data penting tentang program yang terinstall di komputer lokal, termasuk Foxmail, OperaMail, Opera, Mozilla Firefox, Safari, IncrediMail, Pidgin dan Thunderbird.

Trojan tersebut juga mengincar data yang dimasukkan dalam formulir aplikasi online di berbagai website, seperti Twitter, Facebook, Yahoo, Google, Live.com, zoho.com, dan lain sebagainya.

File kedua yang ditemukan tim Kaspersky Lab adalah program backdoor yang terkait dengan malware pertama. Trojan ini menghubungkan diri dengan server command-and-control dan mengunduh file DLL tambahan yang disembunyikan di dalam foto JPEG.

Tim Kaspersky Lab hingga kini mengakui akan terus mengawasi perkembangan bot tersebut.link