Duh, Situs Vimeo Dibajak Hacker Buat Sebar Malware

Jakarta –

Perusahaan keamanan Mandiant telah menemukan serangan malware jenis baru yang belum pernah terlihat sebelumnya.

Malware ini menggunakan pengkodean Base 64 dan menggunakan setidaknya dua situs web untuk melakukan serangan. Situs yang terkena dampak adalah Ars Technica dan Vimeo.

Disebut serangan berantai karena serangan malware ini terbagi menjadi tiga tahap, dan situs Ars Technica dan Vimeo merupakan tahap kedua serangan malware.

Di situs Ars Technica, misalnya, seorang pengguna memposting foto pizza dengan teks “Saya suka pizza”. Sekilas tidak ada yang salah dengan gambar dan teks ini.

Namun ternyata gambar tersebut berisi rangkaian kode Base 64 yang jika diubah ke ASCII terlihat seperti karakter acak saja. Namun, dalam kasus ini, skrip berisi sebaris kode untuk memaksa komputer korban mengunduh malware tahap ke-2.

Contoh lainnya di Vimeo, ketika sebaris kode muncul di deskripsi video, dan tampak tidak berbahaya, lapor detikINET dari Techspot, Jumat (2/2/2024).

Sementara itu, Ars Technica segera mengambil tindakan dengan menghapus akun pembuat artikel tersebut, yaitu akun yang dibuat pada November 2023. Mereka mengetahui identitas gambar misterius tersebut setelah pria anonim tersebut memposting berita aneh yang ditemukannya di Ars Technica. Forum.

Dalam analisisnya, Mandiant mengungkapkan bahwa kode malware tersebut milik common ghost bernama UNC4990 yang telah diuji sejak tahun 2020. Bagi sebagian besar pengguna, malware yang diunduh dari situs Vimeo dan Ars Technica tidak berbahaya, ini merupakan malware kategori 2 dengan nama Ubusa.

Blank Space tampak seperti file teks jika dilihat di browser dengan editor yang tampak kosong. Namun, jika Anda membukanya menggunakan hex editor, maka akan muncul dua file menggunakan kode pintar, yang menggunakan spasi, tab, dan baris baru untuk menjalankan kode biner. Mandiant mengaku belum pernah melihat teknik seperti itu sebelumnya.

Ini adalah jenis penerapan yang langka. Ini sangat menarik bagi kami, dan ini adalah sesuatu yang ingin kami lihat,” kata peneliti Mandiant, Yash Gupta.

Malware ini menargetkan pengguna yang pernah menemukan malware jenis pertama, explr.ps1. UNC4990 mendistribusikan malware batch pertamanya melalui flash drive yang dirancang untuk menghubungkan korban ke file yang disimpan di GitHub dan GitLab.

Bagi korban yang mengalami tahap pertama, setelah BlankSpace selesai maka malware akan memanggil server dan mendownload backend bernama Quietboard. Backend digunakan untuk menyimpan mata uang kripto di perangkat korban. Untungnya, menurut Mandiant, sejauh ini baru satu korban yang teridentifikasi menginstal malware tersebut. Simak video “Timnas AMIN Hadirkan Peta Jalan Siber 100 Hari” (asj/rns)