Gameover Zeus dengan LoadInjectScript

25 Juni 2014
Gameover Zeus dengan LoadInjectScript
Trojan setingkat Maleficent 
Bila anda administrator situs belanja online atau institusi keuangan yang menyediakan fasilitas internet banking, masuknya Indonesia ke peringkat 9 sebagai negara yang paling banyak terinfeksi GOZ selayaknya membuat anda waspada pada Game Over Zeus. Menurut data yang didapatkan dari G Data, setidaknya 3 institusi situs internet banking bank pemerintah terbesar masuk dalam incaran GOZ dan penggunanya berpotensi untuk mengalami kerugian atas aksi GOZ ini. Walaupun pembuat GOZ diyakini memiliki kemampuan program yang mumpuni, tentunya mereka akan menghindari menyerang server internet banking yang dijaga dengan ketat oleh administrator. Selain itu, GOZ juga sudah dikomersilkan dan bisa dibeli di dunia undeground. Umumnya operator GOZ ini memilih mencari korban yang lengah dan lebih lemah. Tidak lain dan tidak bukan adalah pengguna (end user) internet banking. Mungkin anda menyamakan aksi ini dengan aksi phishing yang mulai marak beredar disebarkan melalui email. Perlu anda ketahui bahwa yang anda hadapi bukanlah phisher biasa namun GOZ yang karena kerumitan dan kecanggihannya tidak cukup berhadapan dengan perusahaan sekuriti tetapi melibatkan langsung ahli cybercrime dari FBI, Europol dan NCA ( National Crime Agency). Jangan pandang remeh GOZ dan menyamakan dengan aksi phishing dan rekayasa sosial yang menjadi mantra utama kejahatan e-commerce lainnya karena kalau anda menyamakan GOZ dengan aksi phishing lainnya ibarat anda membandingkan Maleficent dengan 3 peri pelindung Aurora: Knotgrass, Flittle dan Thistletwit dalam film Maleficent, beda kelas dan beda kesaktiannya. Sebagai gambaran, teknik dasar phishing internet banking yang biasa digunakan adalah memberikan penampakan alamat situs internet banking yang resmi namun ketika di klik membawa ke situs internet banking abal-abal guna mencuri kredensial dan akan mudah dideteksi oleh pengguna jika teliti memperhatikan alamat situs internet banking / e-commerce yang dikunjunginya. Sedangkan GOZ tidak melakukan phishing melainkan injeksi web. Jadi alamat situs internet banking yang dikunjungi TIDAK BERUBAH, namun tanpa disadari oleh korban, GOZ memiliki kemampuan mengubah isi situs e-commerce atau internet banking yang dikunjungi dan mengambil data kredensial penting yang dimasukkan dengan teknik LoadInjectScript.


Teknik Phishing Kovensional

Dalam contoh aktivitas email phishing internet banking yang banyak di terima Vaksincom, sebagai contoh pesan phishing yang diberikan akan memberikan tampilan alamat situs internet banking yang resmi (lihat gambar 1). Tetapi jika tautan tersebut di klik ia akan mengarahkan ke situs phishing yang telah dipersiapkan (lihat gambar 2). Gambar 1 berlokasi di lokal karena datang dalam lampiran email dengan tautan yang beralamat di h**ps://ibank.klik*ca.com/ dan alamat tersebut memang merupakan alamat resmi internet banking bank yang bersangkutan. Tetapi jika tautan tersebut diklik, tautan situs yang akan ditampilkan langsung diarahkan ke situs phishing dengan alamat domain di h**ps://pigames.info dan bukan h**ps://ibank.klik*ca.com.
20140625I_gozloadinjectscript02
Gambar 1, Situs pancingan yang akan datang dalam lampiran email dengan alamat resmi internet banking
20140625I_gozloadinjectscript01
Gambar 2, Situs phishing yang telah dipersiapkan untuk mencuri kredensial
Trik di atas rasanya sudah cukup untuk mengelabui pengguna internet awam yang kurang hati-hati dan tidak memperhatikan alamat situs yang dikunjunginya ketika melakukan aktivitas internet banking. Karena itulah jika anda menggunakan internet banking, harap ekstra hati-hati dan jangan pernah mengklik tautan yang diberikan baik dari email ataupun situs yang tidak anda ketahui kredibilitasnya. Jika anda sudah berhati-hati dan tidak tertipu dengan teknik tipuan phishing di atas, ibaratnya tipuan level Knotgrass, Flittle dan Thistletwit. Saatnya anda kami kenalkan dengan tipuan yang lebih sakti lagi kalau mengikuti film yang sedang populer tipuan level Maleficent. Perkenalkan GOZ alias Gameover Zeus yang memiliki kemampuan injeksi pada situs web yang anda kunjungi. Tanpa mengubah alamat situs yang anda kunjungi, ia mampu mencuri kredensial yang anda masukkan pada situs e-commerce, internet banking atau facebook (sekalipun) jika diinginkan oleh pembuatnya. Lebih hebatnya lagi, jika phishing konvensional perlu melakukan broadcast email dengan rekayasa sosial yang menarik supaya korbannya tertipu mengunjungi situs phishing yang telah dipersiapkan, GOZ tidak perlu melakukan hal ini karena ia mampu menginjeksi peramban dan aktif pada peramban yang anda gunakan dimana secara otomatis GOZ melakukan pengecekan pada semua alamat situs yang anda kunjungi dan jika ia mendapatkan bahwa anda mengunjungi situs yang mengandung kredensial yang berharga seperti situs internet banking, e-commerce dan situs yang memiliki kredensial yang menarik, secara otomatis ia akan melakukan aksi injeksi pada situs yang anda kunjungi guna mendapatkan kredensial yang anda masukkan. Menurut catatan Vaksincom yang bersumber dari G Data Bankguard, menggunakan teknologi Bankguard, selain situs internet banking internasional yang dipantau oleh GOZ, 3 situs internet banking Indonesia yang dipantau oleh Gameover Zeus dan ditemukan dalam badan malware GOZ adalah :
  •     bankman**ri.co.id
  •     bnidir**t.co.id
  •     ibank.*ri.co.id
Catatan :

Data ini hanya memberikan fakta bahwa 3 domain di atas hanya menjadi target pantauan Gameover Zeus dan tidak menunjukkan kerentanan atau ancaman pada server atau layanan internet banking 3 server di atas. Data tersebut didapatkan langsung dari ekstraksi kode malware yang didapatkan oleh G Data Bankguard. Ancaman kebocoran data mungkin terjadi tidak pada server internet banking yang bersangkutan TETAPI pada komputer lokal yang terinfeksi Gameover Zeus. Karena itu, jika anda menggunakan internet banking dan layanan e-commerce lainnya anda disarankan menggunakan teknologi yang dapat mencegah injeksi peramban yang berakibat pada kebocoran kredensial hasil injeksi. Seluruh produk G Data sudah memiliki teknologi Bankguard yang mampu mendeteksi injeksi file .dll peramban / browser anda oleh semua trojan internet banking seperti Gameover Zeus, Citadel, Sinowal, Tatanga, Zeus dan trojan lainnya. Untuk informasi lebih lengkap mengenai Bankguard bisa didapatkan dari http://www.virusicu.com/product/bankguard.php


Merekrut money mule

Jika berhasil mendapatkan kredensial korbannya dan melakukan transfer, tentunya kriminal cyber tidak bodoh melakukan transfer langsung ke rekeningnya. Kalau di Indonesia yang administrasi kependudukannya kurang baik sehingga tidak sulit untuk memiliki banyak KTP dan membuka banyak rekening bank untuk menampung hasil kejahatan. Malahan ada aktivitas jual beli rekening bank yang lengkap dengan kartu ATM untuk menampung hasil kejahatan yang pernah dibahas Vaksincom pada artikel Jokowi Pun Dicatut Situs Jual Beli Rekening Bank Aspal http://inet.detik.com/read/2014/01/16/134353/2468860/398/. Namun hal ini tidak terjadi dinegara dengan administrasi kependudukan yang baik dan sangat sulit memiliki lebih dari satu tanda pengenal. Karena itu kriminal memanfaatkan jasa yang dikenal dengan istilah money mule. Memanfaatkan jaringan spam Cutwail kriminal cyber menyebarkan informasi lowongan pekerjaan part time dari rumah dengan gaji menggiurkan. Bagi pelamar yang tertarik ditawarkan kompensasi yang menggiurkan dan mereka akan diminta untuk membuka rekening bank guna menampung uang hasil kejahatan yang dilakukan GOZ dan kejahatan online lainnya dan setiap transfer yang dilakukan akan mendapatkan komisi yang besar. Namun, tidak diketahui oleh money mule ini bahwa ia menjadi kaki tangan penjahat untuk menampung uang haram dan nantinya harus berurusan dengan pihak yang berwajib.


Bagaimana mengetahui anda terinfeksi Gameover Zeus

Jika anda tidak menggunakan program pengamanan transaksi internet banking dan e-commerce seperti G Data Bankguard yang mampu mendeteksi dan menangkal 99 % trojan internet banking namun anda ingin mengetahui apakah komputer anda terinfeksi oleh Gameover Zeus, anda bisa mengunjungi online situs deteksi Gameover Zeus yang dipersembahkan oleh F-Secure di http://campaigns.f-secure.com/en_global/zeus/ols/ (lihat gambar 3)
Gambar 3, Online checking Gameover Zeus Infection by F-Secure
Mengingat Indonesia memiliki lebih dari 7.000 kasus infeksi GOZ di bulan Juni 2014, tidak ada salahnya anda mencoba melakukan pengecekan gratis tersebut. Jika anda menemukan infeksi Gameover Zeus atau malware lain pada jaringan anda segera hubungi bagian IT atau vendor penyedia layanan sekuriti perusahaan anda untuk mencegah aksi jahat malware seperti GOZ yang menginfeksikan Cryptolocker pada komputer-komputer korbannya.
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: