Anda dalam video ini?

02 Maret 2015
Anda dalam video ini?
5 begal penginstall gadis mabuk
Gadis Mabuk yang mulai menjalankan aksinya dengan menumpang ekstensi Firefox dan Chrome sejak Desember 2014 sukses menginfeksi puluhan ribu akun Facebook sehingga mengakibatkan ratusan ribu Facebooker Indonesia mendapatkan posting Gadis Mabuk di wallnya kembali menjalankan aksinya pada akhir Februari 2015. Kelihatannya pembuat malware ini sengaja memilih waktu akhir pekan untuk menjalankan aksinya guna memaksimalkan infeksi malware ini dan menghindari pantauan administrator yang kemungkinan sedang menikmati libur akhir pekan.

Dalam versi Gadis Mabuk 2.0 ini terjadi beberapa penyempurnaan malware seperti penggunaan url shortener adf.ly menggantikan goo.gl. Karena goo.gl selama ini cukup tanggap melakukan blokir atas penyalahgunaan penyingkat tautan goo.gl oleh Gadis Mabuk. Hal ini kelihatannya cukup efektif membantu penyebaran malware karena adf.ly yang lebih berorientasi bisnis dibandingkan goo.gl dan bahkan memberikan kompensasi finansial bagi pengguna penyingkat tautan adf.ly. Sedangkan goo.gl yang dimiliki oleh Google dan lebih tanggap melindungi penggunanya dari penyalahgunaan penyingkat tautan. Selain itu tautan yang selama ini mengandalkan dropbox juga kelihatannya mulai ditinggalkan dan pembuat malware mulai mengandalkan adf.ly yang memang sering digunakan oleh pembuat malware dalam menjalankan aksi jahatnya.

Ibarat begal motor yang selalu beraksi bergerombol, pembuat malware ini membuat 5 buah ekstensi Firefox dengan tujuan mempersulit identifikasi oleh korbannya karena nama ekstensi yang berbeda-beda dan membingungkan korbannya jika harus mengingat nama ekstensi jahat yang harus dihindari. Adapun nama ektensi jahat Firefox yang digunakan juga keren dan meyakinkan seperti Phat Play, Safe House, Secure Pack, Ultra Play dan Security Patch dengan icon yang keren dan meyakinkan.

Sama seperti aksi sebelumnya, postingan Facebook Gadis Mabuk 2.0 belum menginfeksi smartphone namun pembuatnya kemungkinan mendapatkan keuntungan dari pembuat apps di Google Play dengan mengarahkan instalasi aplikasi guna memberikan kesan seakan-akan hanya menggunakan aplikasi peramban buatan China tersebut baru bisa melihat video yang dijanjikan.

Anda dalam video ini ?

Jika anda menemui posting di wall Facebook teman anda atau mendapatkan tag dari teman anda dengan gambar seronok dan judul “Anda dalam video ini?” (lihat gambar 1) yang jika di klik akan membukakan pemendek tautan (URL Shortener) adf.ly yang kemudian akan membuka alamat situs http://www.videogila.info/gadis/ atau gambar Gadis Mabuk dengan judul “wanita alkohol” (lihat gambar 2) yang jika di klik akan meneruskan ke tautan di dropbox yang pada akhirnya juga menampilkan alamat peramban seperti gambar 1 di bawah ini.
20150302I_andadalamvideoini02
Gambar 1, Anda dalam video ini? Dengan gambar seronok guna memancing korbannya melakukan klik
20150302I_andadalamvideoini01
Gambar 2, Dengan gambar Gadis Mabuk lama, tema yang di pilih adalah “wanita alkohol”
Sebaiknya anda jangan mengklik gambar tersebut, khususnya pengguna peramban Mozilla Firefox karena eksploitasi yang akan menjebak anda menginstalkan ekstensi Firefox jahat sudah menunggu anda. Karena yang dieksploitasi adalah ekstensi Firefox, kemungkinan besar pengguna OS non Windows yang menggunakan peramban Mozilla Firefox seperti Mac OS dan Linux juga terancam oleh malware ini.

Jika korbannya tertarik dan melakukan klik pada posting Facebook yang ditampilkan maka ia akan dibawa ke situs jebakan yang telah dipersiapkan sebelumnya dengan alamat videogila.info (lihat gambar 3) yang memiliki tampilan mirip dengan situs Youtube namun dengan pesan:

“Anda harus memiliki Plugin dipasang untuk menonton video ini. Klik disini untuk menginstal plugin.”
20150302I_andadalamvideoini03
Gambar 3, Tampilan penjebak yang mirip situs Youtube dan mengelabui pengaksesnya untuk menginstal Plugin
Padahal ini dilakukan semata-mata untuk mengelabui korbannya supaya menginstal Plugin. Sebagai catatan, yang di instal sebenarnya bukan Plugin, melainkan ekstensi / addons Firefox yang nantinya akan melakukan autoposting ke akun Facebook korbannya. Jika video tersebut di klik, akan muncul tampilan konfirmasi instalasi ekstensi (bukan Plugin). Namun kemungkinan besar pengguna komputer awam tidak akan sadar atas kejanggalan ini dan menyetujui instalasi ekstensi tersebut (lihat gambar 4). Adapun nama dan file ekstensi yang digunakan memiliki banyak varian dan menurut pengetesan lab Vaksincom terdapat 5 varian ekstensi dengan nama yang berbeda dan keren seperti Phat Play, Safe House, Secure Pack, Ultra Play dan Security Patch
20150302I_andadalamvideoini04
Gambar 4, Salah satu Add ons Firefox yang akan di instalkan oleh Gadis Mabuk dengan nama Phat Play
Jika anda menggunakan antivirus yang memiliki kemampuan deteksi yang baik, anda akan terlindung dari aksi jahat malware ini karena akan dihentikan oleh program antivirus anda. Sebagai catatan, G Data Antivirus mampu mendeteksi instalasi ekstensi jahat ini dan Add ons ini tidak akan bisa terinstal karena langsung dihentikan oleh G Data karena terdeteksi sebagai Script.Malware.Itpiz.B (lihat gambar 5).
20150302I_andadalamvideoini05
Gambar 5, G Data mendeteksi dan menghentikan instalasi add ons malware jahat ini dan mendeteksi sebagai Itpiz.B
Dalam artikel berikutnya, Vaksincom akan memberikan informasi dibalik kecerdasan malware ini dan memberikan cara jitu guna membasmi malware ini jika anda sudah menjadi korbannya.
Salam,

Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: