Infeksi di CCleaner Ternyata Lebih Parah dari Perkiraan

Infeksi di CCleaner Ternyata Lebih Parah dari Perkiraan

Targetkan Microsoft, Google, dan Samsung

ilustrasi / ist

SHNet, London – Awal pekan lalu, ramai diberitakan bahwa perangkat populer pembersihan sistem , CCleaner, telah terinfeksi oleh malware selama hampir sebulan. Namun baru sekarang diketahui jika serangan itu ternyata lebih buruk dari dugaan semula.

Malware pada CCleaner telah diteliti dapat digunakan untuk mengirimkan muatan tahap kedua yang akan berjalan di sistem lokal dan melakukan berbagai tugas. Ini bukanlah fitur malware yang tidak biasa, namun para periset tidak berpikir kemampuannya telah digunakan dalam kasus ini. Tetapi yang lebih parah beberapa pemain terbesar di dunia ternyata menjadi target serangan malware tersebut.

Kini berapa banyak komputer yang terkena dampak telah diketahui jumlahnya, total sekitar 2,27 juta, jauh lebih kecil dari data 5 juta per hari yang pada awalnya diperkirakan berdasarkan popularitas unduhan CCleaner. Tapi itu mungkin satu-satunya kabar baik yang ada, karena berdasarkan laporan Avast, pemilik CCleaner, ada situasi lain dalam penyebarannya.

Pada log server tersebut menunjukkan 20 mesin dalam total 8 organisasi dimana muatan tahap ke 2 dikirim. Namun mengingat log tersebut hanya dikumpulkan selama kurang dari tiga hari, jumlah sebenarnya dari komputer yang menerima muatan tahap 2 setidaknya di angka ratusan. Jadi ada dua tahap infeksi yang dilakukan, karena sebelumnya tidak pernah dibayangkan malware akan mengirim muatan tahap ke 2.

Talos Intelligence telah menerbitkan daftar domain yang ditargetkan selama beberapa hari yang memiliki data. Daftar tersebut mengungkapkan kumpulan perusahaan yang ditargetkan, termasuk domain-domain internal Microsoft, Samsung, Sony, Intel, Google, Cisco, dan D-Link. Mengingat bahwa daftar ini hanya mencakup tiga hari lebih dari 20 hari yang dibutuhkan oleh malware tersebut aktif, kemungkinan perusahaan-perusahaan lainnya juga akan terkena.

Avast melaporkan bahwa muatan sekunder yang terkandung di dalamnya sangat banyak, sangat dikaburkan untuk menghindari deteksi otomatis, dan dirancang untuk terhubung ke server CnC yang dapat dialihkan ke salah satu dari sejumlah domain. Mengambil server komando dan kontrol secara offline adalah salah satu cara paling efektif untuk menghentikan wabah; paket malware yang bisa berulang kali menyambung kembali ke daftar server lebih cenderung tetap aktif dalam menghadapi tindakan tersebut.

DLL di dalam payload cukup menarik. Mereka menyuntikkan kode berbahaya langsung ke DLL lain yang sah dan menyimpan kode berbahaya mereka sendiri langsung ke registri. Ini bukan serangan fly-by-night atau pemeriksaan biasa. Metode malware dan pengirimannya merupakan upaya canggih untuk menembus perusahaan tertentu, yang kemungkinan mencari eksploitasi atau backdoor lebih lanjut.

Kini penelitian tentang serangan sedang berlangsung. Berbagai perusahaan yang menyelidiki malware tersebut tidak yakin apakah ada muatan sekunder yang berhasil mencuri informasi atau tidak. (HNP)