Berpendekatan Amatir, Malware Madi Usung Isu Religi

JAKARTA, SELASA – Bentuk malware kini bermacam-macam. Ada yang mentarget orang-orang tertentu. Ada yang sepertinya menyasar institusi tertentu. Ada juga yang dibuat khusus untuk menyerang kawasan/negara tertentu.

Madi contohnya. Pemeriksaan atas malware yang awalnya ditemukan oleh Securelert mendapatkan sejumlah besar dokumen dan gambar dengan “pengalihan” isu religi dan politik yang muncul saat awal terjadinya infeksi. Infrastruktur malware ini, kata Kaspersky Lab, sederhana dibandingkan trojan lainnya. Sistem Anti-Virus Kaspersky Lab mendeteksi varian Malware Madi bersama dengan modul dan dropper terkait sebagai Trojan.Win32.Madi.

Namun malware ini berhasil memakan lebih dari 800 korban di Iran, Israel, Afganistan dan negara-negara tertentu yang terhubung ke server Command & Control Madi dalam delapan bulan terakhir. Para korban terdiri dari mereka yang bekerja di proyek-proyek infrastruktur penting di Iran dan Israel, institusi finansial Israel, pelajar teknik dari Timur Tengah dan berbagai badan pemerintah di Timur Tengah. Artinya, target sudah dipilih dengan hati-hati dan bukanlah orang biasa.

“Bisa jadi pendekatan amatir dan sederhana ini justru membantu mereka melakukan kegiatan di bawah radar dan tidak terdeteksi,” kata Nicolas Brulez (Senior Malware Researcher Kaspersky Lab) dalam rilis persnya.

“Yang menarik, analisa gabungan kami menemukan banyak string Persia di seluruh bagian malware dan perangkat C&C. Hal ini tidak biasa terlihat dalam kode berbahaya.  Tidak diragukan lagi para penyerang fasih berbahasa Persia,” ujar Aviv Raff, Chief Technology Officer, Seculert.

Untuk menginfeksi komputer, penyerang memanfaatkan skema social engineering yang dirancang untuk membuat penggunanya membuka slideshow PowerPoint yang berisi file jahat. Namun berbeda dengan Flame atau Stuxnet, serangan ini tidak menggantungkan diri pada eksploitasi zero-day, dan tidak ada bukti yang mengaitkannya dengan negara tertentu.

Trojan pencuri informasi Madi memungkinkan para pembuatnya untuk mencuri file penting dari komputer Windows yang terinfeksi, memonitor komunikasi penting seperti e-mail dan instant messages, merekam suara, me-log keystrokes dan mengambil screenshot dari kegiatan korban. Analisa data menemukan bahwa beberapa gigabit data telah diunggah dari komputer korban.

Aplikasi dan situs umum yang dimata-matai termasuk Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+, dan Facebook. Pengawasan juga dilakukan melalui sistem ERP/CRM terintegrasi, kontrak bisnis dan sistem manajemen keuangan.