Malware Spionase FinSpy Kembali Menghantui

Rabu, 27 September 2017 - 23:58 WIB
Malware Spionase FinSpy...
Malware Spionase FinSpy Kembali Menghantui
A A A
JAKARTA - Malware FinFisher atau FinSpy, spyware terkenal yang sering dijual ke pemerintah atau agensi-agensi di seluruh dunia sebagai alat pengintaian, telah beredar luas di internet. Selain menampilkan peningkatan kualitas, beberapa varian ini telah menggunakan penyebaran yang tak kasat mata, diduga melibatkan internet service provider (ISP).

Pada 2013, FinFisher aka FinSpy pernah menyusup dan menyerang Indonesia membuat gempar jagad maya di Tanah Air. ESET mengamati aktivitas FinFisher/FinSpy ini pada perangkat komunikasi mobile, yaitu di iPhones dan Blackberry serta kemungkinan menjangkit OS lain.

Untuk menanggulanginya, saat itu ESET secara proaktif bekerja sama dengan pemerintah dan lembaga-lembaga penegak hukum dengan nama Securing Our E-City, bersama institusi pendidikan membangun zona bebas virus (ESET Virus Free Zone).

Berbeda dengan saat ini, varian terbaru FinFisher memiliki kemampuan memata-matai yang luas, seperti pengawasan langsung melalui webcam dan mikrofon, key logging, serta pengarsipan file.

Apa yang membuat FinFisher berbeda dari alat pengawasan lainnya? Adalah bagaimana FinFisher dijual bebas dan dipasarkan sebagai alat penegakan hukum dan diyakini telah digunakan oleh banyak pemerintah. ESET menemukan varian FinFisher terbaru ini beredar di tujuh negara. Namun, ESET tidak bisa mengungkapkan negara mana saja yang telah disusupi agar tidak membahayakan keselamatan siapa pun.

Operasi gelap FinFisher atau yang dikenal dalam deteksi ESET sebagai Win32/FinSpy pada 12 September 2017 dengan versi deteksi database 16072 diketahui telah menggunakan berbagai mekanisme infeksi. Termasuk spearphishing, instalasi manual dengan akses fisik ke perangkat, eksploitasi zero day, dan serangan watering hole, yaitu menulari situs yang diperkirakan akan dikunjungi.

Apa yang baru dan paling meresahkan dari operasi baru adalah dalam hal distribusi yang menggunakan serangan man-in-the-middle (MITM) oleh pelaku yang kemungkinan besar beroperasi di tingkat ISP. ESET telah melihat vektor ini digunakan di dua negara di mana sistem ESET mendeteksi spyware FinFisher terbaru sementara di lima negara yang tersisa, operasi tersebut mengandalkan distribusi konvensional.

Beredarnya kembali FinFisher tentu saja menimbulkan banyak kekhawatiran berbagai pihak, hal ini mendapat perhatian dari Technical Consultant PT Prosperita – ESET Indonesia Yudhi Kukuh.

“Versi terbaru dari FinFisher telah menerima perbaikan teknis dan mengalami peningkatan kualitas. Para pengembangnya fokus dengan teknologi stealth untuk menyembunyikan diri dari pelacakan radar," ujarnya, Rabu (27/9/2017).

"Spyware juga menggunakan virtualisasi kode kustom untuk melindungi sebagian besar komponennya, termasuk driver mode kernel. Selain itu, seluruh kode sudah terisi dengan trik anti-pembongkaran. ESET menemukan banyak trik anti-sandboxing, anti-debugging, anti-virtualisasi dan anti-emulasi dalam spyware,” terang Kukuh.

Namun, lanjut dia, bagi pengguna ESET seharusnya tidak perlu khawatir dengan kembali beredarnya FinSpy/FinFisher meskipun masih dirahasiakan identitas negara mana saja yang sudah disusupi, karena ESET mampu mendeteksi kehadiran Spyware berbahaya ini.

Saat menganalisis operasi spyware ini, ESET menemukan sampel yang menarik, spyware FinFisher menyamar sebagai file executable bernama "Threema". File semacam itu dapat digunakan untuk menargetkan pengguna yang peduli terhadap privasi, karena aplikasi Threema yang asli menyediakan pesan instan yang aman dengan enkripsi end-to-end.

Ironisnya, mereka malah tertipu untuk mengunduh dan menjalankan file terinfeksi yang mengakibatkan pengguna pencari privasi dimata-matai.

Fokus khusus pada pengguna yang mencari perangkat lunak enkripsi tidak terbatas hanya pada komunikator end-to-end. Selama penelitian, ESET juga menemukan file instalasi TrueCrypt sebuah software enkripsi disk yang sangat populer menjadi trojan bagi FinFisher.
(dmd)
Copyright ©2024 SINDOnews.com
All Rights Reserved
berita/ rendering in 0.0935 seconds (0.1#10.140)