:strip_icc():format(jpeg)/kly-media-production/medias/1776384/original/048971300_1511237424-terserang_malware.jpg)
Liputan6.com, Jakarta - Ada malware baru yang hadir lewat distribusi pembaruan software Asus belum lama ini.
Malware bernama ShadowHammer tersebut, kabarnya didistribusikan ke 1 juta komputer Windows dan menyamar sebagai sebuah pembaruan perangkat lunak "kritis" dari server Asus dan ditandai dari sertifikat Asus asli, sehingga membuatnya tampak valid.
Kaspersky Lab mengungkapkan cara kerja malware ShadowHammer.
Dalam keterangan resminya yang diterima Tekno Liputan6.com pada Rabu (27/3/2019), serangan menargetkan kelemahan spesifik dalam sistem yang saling berhubungan antara sumber daya manusia, organisasi, material, dan intelektual yang terlibat dalam siklus kehidupan sebuah produk: dari tahap pengembangan awal hingga pengguna akhir.
Walau infrastruktur vendor dapat diamankan, justru tidak menutup kemungkinan bahwa masih ada kerentanan di fasilitas penyedianya dan menyabotase rantai pasokan yang dapat mengarah pada pelanggaran data yang menghancurkan dan tidak terduga.
Aktor di balik ShadowHammer menargetkan Asus Live Update Utility sebagai sumber infeksi awal.
Ini adalah utilitas yang dipasang sebelumnya pada sebagian besar komputer Asus baru, untuk pembaruan BIOS, UEFI, driver dan aplikasi otomatis.
Menggunakan sertifikat digital curian yang digunakan oleh Asus untuk menandatangani binari yang sah, para pelaku kejahatan siber melakukan perusakan pada versi lama dari perangkat lunak Asus dan menyuntikkan kode berbahaya mereka sendiri.
Utilitas yang sudah terinfeksi Trojan ditandatangani dengan sertifikat sah, kemudian di-host dan didistribusikan dari server pembaruan resmi Asus, yang membuatnya sebagian besar tidak terlihat oleh beberapa solusi perlindungan.
Meski ini berarti setiap pengguna perangkat lunak yang terpengaruh berpotensi menjadi korban, pelaku di balik ShadowHammer fokus pada mendapatkan akses ke beberapa ratus pengguna, yang justru sudah mereka ketahui sebelumnya.
Seperti yang ditemukan oleh peneliti Kaspersky Lab, setiap kode backdoor berisi tabel alamat MAC yang dikodekan, pengidentifikasi unik dari adaptor jaringan yang digunakan untuk menghubungkan komputer ke jaringan.
Setelah berjalan di perangkat korban, backdoor memverifikasi alamat MAC-nya terhadap tabel ini.
Jika alamat MAC cocok dengan salah satu entri, malware mengunduh tahap selanjutnya dari kode berbahaya. Jika tidak, updater yang diinfiltrasi tidak menunjukkan aktivitas jaringan apa pun, itulah sebabnya mengapa ia sulit ditemukan untuk waktu yang lama.
Secara total, pakar keamanan dapat mengidentifikasi lebih dari 600 alamat MAC. Ini ditargetkan oleh lebih dari 230 sampel backdoor yang unik dengan shellcode yang berbeda.
https://www.liputan6.com/tekno/read/3927166/begini-cara-kerja-shadowhammer-ancam-ratusan-ribu-penggunaBagikan Berita Ini
0 Response to "Begini Cara Kerja ShadowHammer Ancam Ratusan Ribu Pengguna"
Post a Comment