Cyberthreat.id – Ketika wabah virus corona (Covid-19) menginfeksi ratusan ribu orang dan merenggut nyawa belasan ribu orang di dunia nyata, “virus corona” juga masih terus didistribusikan oleh penjahat dunia maya untuk menginfeksi komputer pengguna internet.

Komplotan penjahat siber memanfaatkan tren wabah Covid-19 untuk menyebar jebakan. Mereka baru-baru ini terdeteksi mempromosikan situs web yang menjual perangkat lunak antivirus Corona, tapi situs web tersebut sebenarnya mendistribusikan muatan bahaya (malicious payload) yang bisa menginfeksi komputer.

Perangkat yang terinfeksi akan ditambahkan oleh sang penjahat ke jaringan botnet BlackNET RAT, demikian tulis BleepingComputer, Senin (23 Maret 2020).

Situs web yang mempromosikan perangkat lunak antivirus Corona palsu itu beralamat di antivirus-covid19 [.]site  yang ditemukan oleh tim Malwarebytes Threat Intelligence. Situs web tersebut kini telah ditutup.

“Anda harus ekstra hati-hati terhadap software keamanan palsu, terutama jika menggunakan virus corona sebagai fokus penjualan,” tulis Malwarebytes di situs webnya.

Menurut Malwarebytes, situs web itu mengiklankan produknya dengan sebutan: “Corona Antivirus-World’s best protection”. Mereka juga membual dengan menambahkan pernyataan berikut untuk meyakinkan pengunjung:

“Our scientists from Harvard University have been working on a special AI development to combat the virus using a windows app. Your PC actively protects you against the Coronaviruses (Cov) while the app is running.”

(Ilmuwan kami dari Universitas Harvard telah bekerja pada pengembangan AI khusus untuk melawan virus yang menggunakan aplikasi Windows. Komputer Anda secara aktif melindungi Anda dari Coronavirus (Cov) ketika aplikasi sedang berjalan.”

Menurut peneliti, setelah pengguna menginstal aplikasi yang diiklankan tersebut, komputer pengguna langsung terinfeksi malware. File dikemas dalam paket komersial software Themida yang mengubah komputer pengguna menjadi bot yang siap menerima perintah dari operator, sebagai berikut:

• hxxps[://]instaboom-hello[.]site//connection[.]php?data=[removed]
• hxxps[://]instaboom-hello[.]site//getCommand[.]php?[removed]
• hxxps[://]instaboom-hello[.]site//receive[.]php?command=[removed]

Server perintah dan kontrol (C2) penjahat di-hosting di situs web instaboom-hello[.]site yang menampakkan panel kontrol untuk botnet BlackNET. Kode sumber lengkap untuk botnet ini diterbitkan di GitHub sebulan lalu. Beberapa fiturnya atau tugas botnet ini, meliputi:

• menyebarkan serangan DDoS
• mengambil tangkapan layar
• mencuri cookie Firefox
• mencuri kata sandi yang disimpan
• menerapkan keylogger
• mengesekusi skrip
• mencuri dompet Bitcoin

Selain Malwarebytes, MalwareHunterTeam pada 6 Maret lalu juga menemukan situs web berbahaya yang menawarkan software antivirus Corona. Alamat situs web tersebut yaitu corona-antivirus [.]com. Hingga kini situs web ini masih aktif, tapi dengan konten telah diubah; tautan jahat telah dihapus, tapi menambahkan tautan donasi.[]