Penjahat dunia maya tidak pernah luput mengikuti tren dunia. Facebook yang menjadi media sosial paling populer di dunia juga tidak ketinggalan jadi sasaran dalam mengembangkan bisnis ilegal mereka.
Setelah sebelumnya sempat ramai dengan penyebaran ransomware Locky melalui file gambar .SVG di Facebook Messenger yang dikirim oleh teman Facebook. Kali ini mereka mengubah materi sebaran menggantinya dengan tautan video yang dikirim oleh siapa saja bahkan teman kita sendiri.
Jika pengguna mengklik tautan yang dikirimkan tersebut, pengguna akan diarahkan ke situs palsu, memikat korban untuk menginstal software yang sudah berisi malware berbahaya. Meskipun masih belum pasti bagaimana malware menyebar, namun diyakini spammer menggunakan akun yang sudah dikompromikan, membajak browser atau menggunakan teknik clickjacking untuk menyebar tautan bermuatan malware.
Pelaku menggunakan social engineering, human hacking untuk mengelabui pengguna agar mengklik tautan video yang biasanya dari pertemanan di Facebook dan umumnya orang mudah percaya karena tautan berasal dari teman meskipun belum pernah bertemu di dunia nyata. Pesan itu berbunyi <nama teman Anda> Video” diikuti oleh tautan bit.ly.
Cara Kerja
URL mengalihkan korban ke Google doc yang menampilkan gambar mini video yang dihasilkan secara dinamis, seperti film yang dapat dimainkan, berdasarkan gambar pengirim, yang jika diklik, mengalihkan lebih lanjut pengguna ke halaman arahan lain yang disesuaikan tergantung pada browser dan sistem operasi mereka.
Misalnya, pengguna Mozilla Firefox di Windows dialihkan ke situs web yang menampilkan pemberitahuan update Flash Player palsu, dan kemudian menawarkan executable Windows yang merupakan perangkat lunak adware.
Pengguna Google Chrome dialihkan ke situs web yang menyamar sebagai YouTube dengan logo YouTube serupa, menampilkan popup pesan error palsu, menipu korban untuk mengunduh ekstensi Chrome berbahaya dari Google Web Store.
Ekstensi tersebut sebenarnya adalah downloader yang mengunduh file pilihan pelaku ke komputer korban. Chrome Extension memiliki file log dari pengembang yang menampilkan nama pengguna. Tidak jelas apakah ini terkait dengan operasi serangan ini. Tapi aneh jika meninggalkan pelaku sampai meninggalkan jejak di dalam tindak kejahatannya.
Malware Cross Platform
Pengguna Apple Mac OS X Safari berakhir pada halaman web yang serupa dengan saat menggunakan Firefox, namun ada penyesuaian untuk pengguna MacOS dengan update palsu untuk Flash Media Player, yang jika diklik, mengunduh berkas .dmg yang dapat dieksekusi OSX, yang aslinya adalah Adware. Sama halnya dengan Linux, pengalihan pengguna ke halaman arahan lain yang dirancang untuk pengguna Linux.
Pelaku di balik serangan melalui facebook Messenger ini sebenarnya tidak menginfeksi pengguna dari semua platform dengan trojan perbankan atau eksploit kit, tapi dengan adware untuk menghasilkan uang melalui pendapatan melalui iklan.
Seperti yang disampaikan di bagian atas, serangan melalui Facebook Messenger sebenarnya sudah menjadi hal yang umum, seperti yang dilakukan pengembang ramsomware Locky. Untuk terhindar oleh serangan siber seperti ini, pengguna jangan mudah mengklik tautan apa pun.
Jika tautan dikirim oleh teman yang benar-benar kita kenal, maka hubungi teman tersebut melalui media lain, seperti telepon, SMS, atau WA. Apabila pengirim adalah orang yang tidak kita kenal, meskipun teman dari Facebook, maka lebih baik abaikan, dan jangan pernah mengkliknya. Untuk lebih terjamin, pasang antivirus yang super ringan dan komprehensif agar selalu terlindungi dari bahaya dan ancaman siber. Digitalmania. (AN).