Selasa, 10 Mar 2015 09:37 WIB

Kolom Telematika

Begal Penginstal Gadis Mabuk

Penulis: Alfons Tanujaya - detikInet
Ilustrasi (Ist.) Ilustrasi (Ist.)
FOKUS BERITA Scam Porno di Facebook
Jakarta - Scam Gadis Mabuk yang mulai menjalankan aksinya dengan menumpang ekstensi Firefox dan Chrome sejak Desember 2014 sukses menginfeksi puluhan ribu akun Facebook.

Aksi ini pun kembali bergerilya pada akhir Februari 2015. Kelihatannya pembuat malware ini sengaja memilih waktu akhir pekan untuk menjalankan aksinya guna memaksimalkan infeksi yang dihasilkan dan menghindari pantauan administrator yang kemungkinan sedang menikmati libur akhir pekan.

Dalam versi Gadis Mabuk 2.0 ini terjadi beberapa penyempurnaan malware seperti penggunaan url shortener adf.ly menggantikan goo.gl. Karena goo.gl selama ini cukup tanggap melakukan blokir atas penyalahgunaan penyingkat tautan goo.gl oleh Gadis Mabuk.

Hal ini cukup efektif membantu penyebaran malware karena adf.ly yang lebih berorientasi bisnis dibandingkan goo.gl dan bahkan memberikan kompensasi finansial bagi pengguna penyingkat tautan adf.ly.

Tautan yang selama ini mengandalkan Dropbox juga kelihatannya mulai ditinggalkan dan pembuat malware mulai mengandalkan adf.ly yang memang sering digunakan oleh pembuat malware dalam menjalankan aksi jahatnya.

Ibarat begal motor yang selalu beraksi bergerombol, pembuat malware ini membuat 5 buah ekstensi Firefox dengan tujuan mempersulit identifikasi oleh korbannya karena nama ekstensi yang berbeda-beda dan membingungkan korbannya jika harus mengingat nama ekstensi jahat yang harus dihindari.

Adapun nama ektensi jahat Firefox yang digunakan juga keren dan meyakinkan yakni Phat Play, Safe House, Secure Pack, Ultra Play dan Security Patch dengan icon menarik.

Sama seperti aksi sebelumnya, postingan Facebook Gadis Mabuk 2.0 belum menginfeksi smartphone namun pembuatnya kemungkinan mendapatkan keuntungan dari pembuat apps di Google Play dengan mengarahkan instalasi aplikasi guna memberikan kesan seakan-akan hanya menggunakan aplikasi peramban buatan China tersebut baru bisa melihat video yang dijanjikan.

Anda Dalam Video Ini?

Jika Anda menemui postingan di wall Facebook teman atau mendapatkan tag dengan gambar seronok dan judul 'Anda dalam video ini?' (lihat gambar 1) yang jika diklik akan membukakan pemendek tautan (URL Shortener) adf.ly yang kemudian akan membuka alamat situs http://www.videogila.info/gadis/ atau gambar Gadis Mabuk dengan judul 'wanita alkohol' (lihat gambar 2) maka akan tersambung ke tautan di Dropbox yang pada akhirnya juga menampilkan alamat peramban seperti gambar di bawah ini.


 
Gambar 1. Anda dalam video ini? Dengan gambar seronok guna memancing korbannya melakukan klik.

 
Gambar 2. Dengan gambar Gadis Mabuk lama, tema yang dipilih adalah 'wanita alkohol'.

Sebaiknya Anda jangan mengklik gambar tersebut, khususnya pengguna peramban Mozilla Firefox karena eksploitasi yang akan menjebak Anda menginstalkan ekstensi Firefox jahat sudah menunggu.

Karena yang dieksploitasi adalah ekstensi Firefox, kemungkinan besar pengguna OS non Windows yang menggunakan peramban Mozilla Firefox seperti Mac OS dan Linux juga terancam oleh malware ini.

Jika korbannya tertarik dan melakukan klik pada posting Facebook yang ditampilkan maka ia akan dibawa ke situs jebakan yang telah dipersiapkan sebelumnya dengan alamat videogila.info (lihat gambar 3) yang memiliki tampilan mirip dengan situs YouTube namun dengan pesan: "Anda harus memiliki Plugin dipasang untuk menonton video ini. Klik disini untuk menginstal plugin".
 

Gambar 3. Tampilan penjebak yang mirip situs YouTube dan mengelabui pengaksesnya untuk menginstal Plugin.

Padahal ini dilakukan semata-mata untuk mengelabui korban supaya menginstal Plugin. Sebagai catatan, yang diinstal sebenarnya bukan Plugin, melainkan ekstensi/addons Firefox yang nantinya akan melakukan autoposting ke akun Facebook korban.

Jika video tersebut diklik, akan muncul tampilan konfirmasi instalasi ekstensi (bukan Plugin). Namun kemungkinan besar pengguna komputer awam tidak akan sadar atas kejanggalan ini dan menyetujui instalasi ekstensi tersebut (lihat gambar 4).

Adapun nama dan file ekstensi yang digunakan memiliki banyak varian dan menurut pengetesan lab Vaksincom terdapat 5 varian ekstensi dengan nama yang berbeda seperti Phat Play, Safe House, Secure Pack, Ultra Play dan Security Patch

 
Gambar 4. Salah satu Add ons Firefox yang akan di instalkan oleh Gadis Mabuk dengan nama Phat Play.

Jika Anda menggunakan antivirus yang memiliki kemampuan deteksi yang baik, maka akan terlindung dari aksi jahat malware ini karena akan dihentikan oleh program antivirus Anda. Sebagai catatan, G Data Antivirus mampu mendeteksi instalasi ekstensi jahat ini dan Add ons ini tidak akan bisa terinstal karena langsung dihentikan oleh G Data karena terdeteksi sebagai Script.Malware.Itpiz.B (lihat gambar 5).

 
Gambar 5. G Data mendeteksi dan menghentikan instalasi add ons malware jahat ini dan mendeteksi sebagai Itpiz.B.




*) Penulis, Alfons Tanujaya adalah seorang praktisi antivirus dan keamanan internet. Ia bisa dihubungi melalui email info@vaksin.com.

(ash/ash)
FOKUS BERITA Scam Porno di Facebook

Redaksi: redaksi[at]detikinet.com
Informasi pemasangan iklan
Hubungi: sales[at]detik.com
News Feed