Hati-hati! Ada Link ZOOM Palsu yang Berisi Malware Berbahaya

JAKARTA - Popularitas aplikasi konferensi video seperti Zoom hingga saat ini masih banyak diminati dan dibutuhkan, karena sebagian perusahaan masih menerapkan Work From Home (WFH). Tetapi, tak luput juga para penjahat online memanfaatkan situasi ini untuk melakukan penipuan.

Banyak penjahat online membuat situs web palsu di luar sana untuk menyebarkan semua jenis virus dan malware. Hal ini diketahui pertama kali oleh para peneliti dari Cyble yang menemukan kampanye luas menargetkan pengguna Zoom.

Cyble  merupakan perusahaan rintisan intelijen siber global, di mana mereka telah menemukan enam situs palsu yang menampung berbagai infostealer yakni malware yang mencoba mencuri informasi dan varian malware lainnya.

Salah satu yang ditemukan peneliti adalah jenis Vidar Stealer, yang mampu mencuri informasi perbankan, kata sandi yang tersimpan, riwayat browser, alamat IP, detail tentang dompet cryptocurrency dan informasi lainnya.

"Berdasarkan pengamatan kami baru-baru ini, (penjahat) secara aktif menjalankan beberapa kampanye untuk menyebarkan pencuri informasi," ungkap para peneliti Cyble.

"Log Pencuri dapat memberikan akses ke titik akhir yang disusupi, yang dijual di pasar kejahatan dunia maya. Kami telah melihat banyak pelanggaran di mana log pencuri telah memberikan akses awal yang diperlukan ke jaringan korban," imbuhnya.

Melansir TechRadar, Senin, 26 September, para peneliti menemukan enam situs yang beralamatkan, zoom-download(dot)host, zoom-download(dot)space, zoom-download(dot)fun, zoomus(dot)host, zoomus(dot)tech, dan zoomus(dot)website. Diklaim hingga kini semuanya masih beroperasi.

Saat membuka situs tersebut, pengunjung akan diarahkan ke URL GitHub yang menunjukkan aplikasi mana yang bisa mereka unduh.

Namun, jika pengunjung kedapatan mengklik aplikasi yang palsu, mereka akan menerima dua binari di folder temp: ZOOMIN-1.EXE dan Decoder.exe.

Selain itu, malware tersebut juga menyuntikkan dirinya ke MSBuild.exe dan menarik alamat IP yang menghosting DLL serta data konfigurasi.

“Kami menemukan bahwa malware ini memiliki Tactics, Techniques, and Procedures (TTPs) yang tumpang tindih dengan Vidar Stealer. (Seperti Vidar Stealer) payload malware ini menyembunyikan alamat IP C&C dalam deskripsi Telegram. teknik infeksi tampaknya serupa," jelas para peneliti Cyble.

Terakhir menurut peneliti, tidak ada cara lain untuk menghindari malware ini kecuali pengguna ZOOM diharuskan untuk memeriksa ulang dari mana mereka mendapatkan aplikasi Zoom mereka dan hati-hati saat mengklik link yang mencurigakan.