Plane Crash On a Bridge

30 Mei 2014
Plane Crash On a Bridge
Scam Facebook penginstal malware
[BREAKING NEWS] Plane Crash on a Bridge this morning May 19, 2014!! Still no signs of survivors. Omgtoday.net
Rekayasa sosial merupakan salah satu faktor yang menentukan keberhasilan penyebaran malware dan scam. Pemilihan tema yang tepat bahkan terkadang bisa membuat malware sederhana mendapatkan mendapatkan keberhasilan lebih tinggi dibandingkan malware lain yang secara teknis lebih canggih. Hal ini rupanya diamini oleh pembuat malware yang satu ini. Menumpang issue pesawat Malaysia Airline MH 370 yang hilang dan sampai saat ini tidak diketahui rimbanya pada akhir Januari 2014 beredar satu scam Facebook tentang pesawat menabrak jembatan (lihat gambar 1) yang jika di klik tidak akan menampilkan video yang dijanjikan tetapi malahan bertujuan menggiring korbannya mengisi survei palsu yang bertujuan mendapatkan informasi penting seperti nomor HP, alamat dan email korbannya. Tidak tahu apakah survei tersebut berhubungan dengan Cak Lontong atau tidak, tetapi disarankan anda untuk tidak memberikan informasi yang diminta survei tersebut karena data anda sangat berpotensi untuk disalahgunakan.
20140530I_planecrashonbridge03
Gambar 1, Huge Plane Crashes Into Bridge scam penipu untuk mengisi survei
Mungkin karena tingginya keberhasilan dari issue pesawat yang mengalami kecelakaan ini, tema ini kemudian di daur ulang dan diedarkan ulang pada 19 Mei 2014 dan menurut pantauan terakhir yang diamati oleh Vaksincom, aksi tersebut berubah dari sekedar scam untuk mendapatkan data pribadi korbannya menjadi aksi untuk menyebarkan malware yang terdeteksi oleh G Data Antivirus sebagai Adware.Graftor. Kabar buruknya, hanya 36 % antivirus yang mampu mendeteksi malware sampai dengan 28 Mei 2014.

Gambar yang digunakan untuk scam penyebaran malware ini sama namun berbeda dengan versi awalnya, gambar yang ditampilkan tidak menambahkan gambar orang terjatuh dari jembatan seperti sebelumnya, namun tetap dengan efek api dan asap. (lihat gambar 2)
20140530I_planecrashonbridge11
Gambar 2, Scam pesawat menabrak jembatan yang di daur ulang untuk menyebarkan malware
Dengan teks yang berbeda :

Breaking News

LIVE Plane crashes into Bridge!

In other news, Henkenius Lemonade is sold in Planes!


Jika melihat teman Facebook anda membagikan tautan seperti pada gambar 3 di bawah, harap berhati-hati dan jangan mudah tertipu apalagi di klik dan mengikuti perintah yang diberikan.
20140530I_planecrashonbridge02
Gambar 3, Posting pada wall yang akan disharingkan oleh korban
Jika tautan tersebut di klik, ia akan membawa ke situs jebakan yang telah dipersiapkan sebelumnya yang beralamat di omgtoday.net (lihat gambar 4). Kemungkinan besar alamat domain ini juga sudah dipersiapkan sebelumnya oleh pembuat scam. Keuntungan memiliki alamat domain yang digunakan untuk scam adalah pembuat scam memiliki kontrol penuh atas situs scam dan bisa menambahkan tautan-tautan baru tanpa perlu khawatir di ban jika dibandingkan dengan menggunakan domain pihak ketiga.
20140530I_planecrashonbridge04
Gambar 4, Domain omgtoday.net kemungkinan besar memang sudah dipersiapkan untuk aksi scam ini untuk memperlancar aktivitas scam
Jika diperhatikan dengan seksama, pembuat scam ini menipu korbannya dengan menempelkan header facebook palsu pada situsnya (lihat gambar 5) sehingga korbannya mengira bahwa ia sedang ada di situs Facebook.
20140530I_planecrashonbridge12
Gambar 5, Header Facebook palsu yang akan selalu tampil untuk semua pengunjung situs
Header facebook palsu yang digunakan secara sekilas tampilannya sangat mirip dan kebanyakan korbannya tidak akan sadar kalau situs yang dikunjunginya bukan dari Facebook, karena alamatnya jelas-jelas omgtoday.net. Namun jarang sekali pengguna komputer yang akan memperhatikan secara detail alamat situs setiap kali melakukan aktivitas browsing. Tambahan lagi, pada bagian bawah gambar pesawat tersebut ditampilkan seakan-akan gambar tersebut sudah di like oleh 4.047 orang dengan 3.639 share. Lalu ada dua komentar palsu yang mengatakan kalau ingin melihat video harus melakukan sharing video tersebut terlebih dahulu. (lihat gambar 6)
20140530I_planecrashonbridge10
Gambar 6, Gambar komentar palsu yang mengarahkan korbannya untuk melakukan FB Sharing
Jika anda mengklik gambar video tersebut, anda akan mendapatkan tampilan pop up bahwa video ini hanya untuk kalangan terbatas (restricted video) dan anda harus melakukan sharing di wall Facebook anda jika ingin melihat video ini (lihat gambar 7 di bawah).
20140530I_planecrashonbridge13
Gambar 7, Popup supaya anda melakukan FB sharing jika ingin melihat video ini
Jika anda mengklik tombol share, akan membawa anda ke situs Facebook dan mengakses akun Facebook anda dan meminta otorisasi sharing seperti pada gambar 8 di bawah ini :
20140530I_planecrashonbridge09
Gambar 8, Otorisasi sharing pada wall Facebook anda
Dan jika korbannya tertipu dan melakukan sharing, maka posting seperti pada gambar 3 di atas akan muncul di wall Facebook korbannya guna menjaring korban lebih banyak. Dan tergantung dari varian situs yang anda akses, ada beberapa kemungkinan yang bisa terjadi namun pada dasarnya akan melakukan instalasi malware pada komputer anda seperti pada gambar 9 di bawah ini dimana anda akan mendapatkan informasi bahwa anda perlu mengunduh dan menginstal codec untuk melihat video yang dijanjikan:
20140530I_planecrashonbridge01
Gambar 9, Korban akan diminta untuk menginstal dan mengunduh codec
Dan cukup konsisten dengan informasi sebelumnya, file yang akan diunduh akan datang dengan nama CodecPerformerSetup.exe. (lihat gambar 10)
20140530I_planecrashonbridge08
Gambar 10, File CodecPerformerSetup.exe yang akan diunduhkan dan di instal
Namun, Vaksincom menyarankan anda untuk jangan sekali-kali anda mengunduh apalagi menjalankan file tersebut karena anda akan memasukkan tamu tidak diundang ke komputer anda meskipun komputer anda telah di proteksi dengan program antivirus yang terupdate. Karena menurut pengetesan virustotal pada tanggal 28 Mei 2014, file dengan nama CodecPerformerSetup.exe tersebut hanya terdeteksi oleh 19 dari 53 antivirus sebagai malware. (lihat gambar 11 dan 12).
20140530I_planecrashonbridge05
Gambar 11, Antivirus yang dapat mendeteksi malware CodecPerformerSetup.exe
20140530I_planecrashonbridge07
Gambar 12, Antivirus yang tidak mendeteksi malware tersebut
Aksi Malware

File dengan nama CodecPerformerSetup.exe ini terdeteksi sebagai Adware.Graftor oleh Gdata, juga dikenal dengan nama Adware.InstallBrain. (lihat gambar 13). Sebagai catatan, pembuat scam ini bisa saja mengubah file malware yang akan diunduhkan sehingga resiko ancaman yang anda hadapi jika mengunduh dan menjalankan file tidak dikenal tersebut sangat tinggi. Anda bisa saja menjadi korban pencurian data, pengambilalihan sistem untuk menyebarkan malware atau data anda di dienkripsi dan disandera jika mendapatkan malware sejenis Cryptolocker.
20140530I_planecrashonbridge06
Gambar 13, Gdata akan melindungi pengunduhan dan instalasi malware ini
InstallBrain memiliki banyak kemampuan berbahaya seperti kemampuan rootkit yang membuatnya memiliki kemampuan tertanam dangat dalam pada sistem operasi, melakukan browser hijacking (membajak peramban) dan mengintervensi penggunaan komputer oleh penggunanya. Aplikasi ini juga dikenal dengan nama PUP Potentially Unwanted Program / Foistware dan seting terinstal bersamaan dengan freeware. Tujuan PUP pada umumnya (namun tidak terbatas pada) mendapatkan keuntungan finansial dari kegiatan iklan ilegal dimana aktivitas ini biasanya merugikan pengguna komputer karena akan mengutamakan pemasang iklan yang memberikan keuntungan finansial langsung pada pembuat PUP ini untuk ditampilkan terlebih dahulu dalam aktivitas pencarian. Terkadang aksi ini malah mengakibatkan instalasi aplikasi malware lainnya. Sekali anda terinfeksi oleh PUP, ibaratnya komputer anda terjerat narkoba dan sangat sulit untuk membersihkan komputer anda dari PUP tersebut. Perlu usaha ekstra keras untuk terbebas dari malware ini karena kemampuan rootkitnya. Karena itu, selalu berhati-hati dan waspada untuk tidak sembarangan mengunduh dan menginstalkan file dari sumber yang tidak anda yakini keamanannya.
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: