Peneliti keamanan dari Radware threat research group baru saja menemukan trojan yang menyamar sebagai aplikasi paint. Trojan ini punya tugas yang sangat spesifik, yaitu mencuri detail login akun Facebook melalui cookies / data yang tersimpan di Chrome. Tanpa diduga, Trojan Facebook ini telah berhasil membobol ribuan akun Facebook pengguna Chrome — dan Indonesia menjadi negara keempat dengan jumlah korban terbanyak.
Proses Infeksi
Infeksi trojan ini dimulai dari diinstallnya aplikasi “Relieve Stress Paint”, yaitu aplikasi Paint yang dijanjikan cukup menyenangkan untuk menghilangkan tekanan karena lelah bekerja, dsb. Aplikasi ini disinyalir tersebar melalui email, melalui download langsung oleh pengguna yang nyasar sewaktu Googling, bahkan disebarkan melalui Facebook itu sendiri.
Begitu aplikasi Paint diinstall dan dijalankan, maka akan terbuka aplikasi corat-coret warna sebenarnya — yang memang fungsional.
Tetapi dikala sang korban sedang asik corat-coret di aplikasi paint tersebut, Trojan dengan cepat langsung menyusup dan melancarkan aksinya dengan menanamkan beberapa file malware:
- Temp\\DX.exe yang merupakan modul utama dari malware dan akan terus tersimpan di sistem
- Temp\\updata.dll yang digunakan untuk mencuri cookie dan detail akun Facebook di Chrome
- AppData\Local\Google\Chrome\User Data\Default\Login Data11111
- AppData\Local\Google\Chrome\User Data\Default\Cookies11111
Selain itu Trojan ini juga mengubah dua key registry di Windows — agar Windows menjalankan malware setiap kali selesai booting.
Akun Facebook Dicuri
Tidak menunggu waktu lama malware tersebut bakal langsung mencuri data login dan cookies di browser Chrome, lalu memproses data tersebut untuk menemukan username dan password Facebook sang korban.
Begitu menemukannya, malware tersebut langsung masuk ke akun Facebook untuk melihat data lain seperti jumlah teman, admin fanpage atau tidak, dan jika pernah melakukan pembayaran iklan di Facebook misalnya, bakal dicuri juga segala informasi penting tersebut.
Tak Terdeteksi
Sang pembuat Trojan ini mampu menyembunyikan malware hingga sulit dideteksi oleh sistem. Tidak melakukan pencurian data dengan cara biasa yang rawan terdeteksi sistem, melainkan melalui pemrosesan data cookies / login data file yang tersimpan. Selain itu malware yang ditugaskan sebagai pencuri hanya aktif kurang dari semenit setiap kali berjalan. Hal ini membuat malware Facebook ini benar-benar tersembunyi dan tak terdeteksi di komputer pengguna.
Tujuan Pencurian Akun
Ada banyak hal yang bisa dilakukan oleh sang pembuat Trojan dengan data akun Facebook yang berhasil dicurinya:
- Diuangkan dengan cara dijual di dark web
- Pemerasan dengan mengancam menyebarkan foto personal dan meminta tebusan
- Kegiatan mata-mata
- Pencurian identitas untuk aktivitas tertentu
- Hingga meraup keuntungan dengan memakai kartu kredit sang korban untuk berbelanja online
Selain itu mengingat Trojan ini juga menargetkan akun yang mengelola fanpage dengan jumlah fans besar, bisa juga akun tersebut bakal dimanfaatkan untuk malvertising seperti menyebar malware lebih luas lagi, promosi suatu produk atau bahkan propaganda konten tertentu.
Korban Trojan Facebook di Indonesia
Vietnam menjadi negara yang paling banyak menjadi korban trojan ini, disusul dengan Rusia, Pakistan, dan keempat — Indonesia.
Agar terhindar dari Trojan Facebook ini, pastikan kamu tidak sembarangan menginstall aplikasi yang tersebar melalui email — atau dari tempat manapun yang tidak memiliki reputasi. Pastikan juga cek review aplikasi sebelum memutuskan untuk menginstall aplikasi yang bagi kamu masih terasa asing.
Selain Facebook, Malware ini nampaknya juga disiapkan untuk mencuri data login Amazon — meskipun sampai saat ini fitur tersebut masih belum aktif.
Info lebih lengkap seputar Trojan Facebook ini bisa kamu baca di PDF Malware Threat Alert ini.
