Cyberthreat.id – Perangkat lunak jahat (malware) Zloader beberapa waktu lalu ditemukan menargetkan para pengunjung situs web porno.

Seperti dikutip dari perushaan keamanan siber AS, Proofpoint, malware ini keluarga Trojan perbankan, Zeus. Zloader ini telah dikenal lawas, terdeteksi sejak 2006, tapi terlihat menyebar 10 tahun kemudian. Tepatnya, antara Juni 2016 hingga Februari 2018, malware yang dikenal juga sebagai “DELoader” atau “Terdot” baru melakukan aksinya.

Huruf “Z” pada namanya diberikan karena Zloader merupakan varian dari malware Zeus. Sementara “Loader” dari namanya menggambarkan fiturnya, yakni didistribusikan sebagai komponen pengunduh, yang akan mengunduh, dan menjalankan komponen malware perbankan utama dan modul lain dari server perintah dan kontrolnya (C&C).

Menurut perusahaan keamanan siber asal Rumania, Bitdefender, seperti dikutip dari Bleeping Computer, algoritma untuk menghasilkan domain pada server C&C dari malware itu unik yakni menggunakan Algoritma Generasi Domain (DGA) sehingga lebih sulit untuk dihapus.

Selain itu, menurut Bitdefender, komponen Zloader atau Terdot ini yang paling canggih adalah proxy Man-in-the-middle (MitM)nya. Alat ini menghubungkan ke soket jaringan sistem operasi untuk membajak semua lalu lintas, bahkan dapat membaca koneksi HTTPS karena menggunakan bagian yang dapat dijalankan yang sah dari paket NSS tools milik Mozilla untuk menambahkan sertifikatnya sendiri ke penyimpanan sertifikat OS dan membaca lalu lintas secure socket layer (SSL) — sertifikat keamanan untuk HTTPS.

Karena Zloader bukanlah malware terakhir yang menginfeksi, varian baru dari Zeus ini merupakan pembawa muatan malware lainnya.

Kelompok peretas yang menggunakan malware ini dalam aksinya yakni TA511 (Hancitor). Namun, tak lama kemudian TA511,beralih dari Zloader ke Panda Baker, tepatnya pada November 2017. Malware ini terlihat aktif pada Februari 2018.

Saat beraksi pada 2016-2018, Zloader menggunakan email untuk penyebarannya. Malware menggunakan browser injection untuk mencuri kredensial dan informasi pribadi lainnya dari pengguna lembaga keuangan yang ditargetkan.

Bahkan, tak hanya mencuri kredensial perbankan, malware dapat mencuri kata sandi dan cookie yang disimpan di web browser korban.

Dengan berbekal kredensial curiannya, malware menggunakan klien Virtual Network Computing (VNC) yang diunduh sehingga pelaku dapat terhubung ke sistem korban dan melakukan transaksi keuangan dari perangkat target yang sudah terinfeksi.

Zloader ini, menurut Resources Infosecinstitute, memiliki “mekanisme anti-analisis” yang memungkinkan bebas dari deteksi dan hashing fungsi Windows API, serta terhindar dari daftar hitam C&C dari sistem analisis malware.

Fungsi tools tersebut mempersulit administrator untuk mendeteksinya sehingga memungkinkan Zloader bertahan dalam sistem yang telah disusupinya.

Metode distribusi Zloader

Sejak 2018 itu, malware ini tidak pernah aktif lagi. Namun, Zloader ini muncul kembali pada awal 2020. Meskipun baru beraksi, Proofpoint mencatat Zloader ini sejak 2019 melakukan pengembangan aktif dengan menerbitkan versi-versi terbarunya, layaknya sebuah aplikasi yang memiliki versi baru.

Menurut Malwarebytes, 23 Desember 2019 Zloader ini terlihat melakukan aksinya tetapi dalam skala kecil, tampaknya tahap uji coba.

Proofpoint memiliki contoh aksi Zloader pada Desember 2019, yakni distribusi email yang mengaku sebagai faktur pembayaran. Berisikan lampiran PDF yang terhubung pada URL yang terhubung ke dokumen Microsoft Word.

Dalam email itu, peretas mencoba meyakinkan target untuk mengaktifkan konten aktif. Jika target mengklik untuk aktifkan konten, maka malware akan menginfeksi perangkat korban.

Masif serangannya terdeteksi pada Maret 2020. Masih dengan cara email jahat, mereka memanfaatkan keadaan pandemi Covid-19, mengirim email spam bertema “Covid-19”.

Pada April 2020, aksi besar dilakukan lagi masih dengan berkedok Covid-19. Pada 21 April, lampiran itu berisikan file Microsoft Excel dengan makro yang disematkan di VeryHidden lembar excel.

Histori Penyerangan

Seperti dikutip dari Cyware, Zloader ini antara 2016-2017 pernah menyerang beberapa target pengguna lembaga keuangan di Kanada melalui email phising dan spam yang berpura-pura berasal dari Badan Pendapatan Kanada atau Canada Revenue Agency (CRA).

Secara historis operator di balik Zloader menargetkan organisasi yang berbasis di Kanada, tapi tidak pada 2020. Operator Zloader menargetkan pengguna di Amerika Serikat, Kanada, Jerman, Polandia, dan Australia terkait dengan topik Covid-19.

Baru-baru ini pun operator Zloader melakukan aksinya pada situs web porno dengan trafik tinggi, seperti xHamster dan Bravo Porn Tube.

Bagaimana menghapusnya?

Menurut PC Risk, itu bisa dilakukan menggunakan alat penghapus malware otomatis. Namun, itu juga bisa dilakukan secara manual dengan mengikuti langkah berikut:

[1] Identifikasi nama malware yang Anda coba hapus dengan “Task Manager”.  Tapi, itu juga perlu mengunduh program bernama Autoruns. Autoruns ini akan menunjukkan aplikasi yang mulai otomatis, hingga lokasi sistem file.

[2]Restart komputer Anda ke Safe Mode. Pengguna Windows XP dan Windows 7: Mulai komputer Anda dalam Safe Mode. Klik Start>Shut Down>Restart>OK.  Selama proses mulai komputer Anda, tekan tombol F8 pada keyboard Anda beberapa kali hingga Anda melihat menu “Opsi Lanjutan Windows”, lalu pilih “Safe Mode with Networking”.

• Windows 8. Buka ikon Start>ketik Advanced>pilih Settings. Klik opsi pengaktifan lanjutan di jendela “Pengaturan PC Umum”>lalu pilih Advanced options>klik Restart now.  Komputer Anda sekarang akan restart ke dalam “Advanced Startup options menu”. Klik tombol Troubleshoot>Advanced options>Startup setttings>Restart . Komputer anda akan memulai ulang ke layar Pengaturan Startup, tekan F5 untuk memboot dalam “Safe Mode with Networking”.

• Windows 10. Klik logo Windows dan pilih ikon Power. Dalam menu yang terbuka klik Restart sambil menahan tombol Shift pada keyboard Anda. Di jendela Option>Troubleshoot>Next option>Startup option>Restart. Di jendela berikutnya, Anda harus mengklik tombol F5 pada keyboard Anda. Ini akan memulai ulang sistem operasi Anda dalam mode aman dengan jaringan.

[3] Ekstrak arsip yang diunduh dan jalankan file Autoruns.exe

[4] Di aplikasi Autoruns, klik “Option” di bagian atas dan hapus centang opsi "Hide Empty Locations" dan "Hide Windows Entries”. Setelah itu, klik ikon “Refresh”.

[5] Periksa daftar yang disediakan oleh Autoruns dan cari file malware yang ingin Anda hapus. Anda harus menuliskan nama lengkapnya.

[6] Perhatikan bahwa beberapa malware menyembunyikan nama proses di bawah nama proses Windows yang sah. Untuk itu, sangat penting untuk menghindari penghapusan file sistem. Setelah menemukan file malware yang ingin Anda hapus, klik kanan mouse Anda dan klik “Hapus” .

[7] Setelah menghapus malware melalui aplikasi Autoruns (ini memastikan bahwa malware tidak akan berjalan secara otomatis pada startup sistem berikutnya), Anda harus mencari nama malware tersebut di komputer Anda. Pastikan Anda telah mengaktifkan file dan folder tersembunyi dengan cara ini.

[8] Jika sudah, Anda akan menemukan nama file mawlare tersebut, pastikan untuk menghapusnya dengan mengklik kanan mouse dan pilih “Hapus”.

[9] Nyalakan ulang komputer anda dalam mode normal.

[10] Mengikuti langkah-langkah itu dapat menghapus malware apapun dalam komputer Anda, tetapi Anda memerlukan keterampilan komputer. Jika tidak, maka serahkan penghapusan ini ke program antivirus dan anti-malware. Untuk mencegah malware menyusup, pastikan sistem operasi perangkat Anda diperbarui secara teratur dan gunakan antivirus.[]

Redaktur: Andi Nugroho