Jakarta, Selular.ID – Kaspersky Lab menemukan serangan in the wild yang dilakukan oleh malware baru dengan menggunakan kerentanan zero-day di aplikasi desktop Telegram. Kerentanan itu digunakan untuk mendistribusikan malware serbaguna.

Dalam keterangan resminya Alexey Firsh, Malware Analyst, Targeted Attacks Research, Kaspersky Lab menjelaskan, kerentanan ini dieksploitasi secara aktif sejak Maret 2017 yang berfungsi sebagai penambangan mata uang virtual (cryptocurrency), seperti Monero, Zcash, dan lainnya.

“Penelitian terbaru menunjukkan bahwa para ahli dapat mengidentifikasi serangan in the wild dengan kerentanan baru yang sebelumnya tidak dikenal di versi desktop dari layanan pesan instan populer lainnya,”ujar Alexey Firsh

Menurut Alexey Firsh,kerentanan zero-day Telegram didasarkan pada metode Unicode RLO (right-to-left override). Ini umumnya digunakan untuk pengkodean bahasa yang ditulis dari kanan ke kiri, seperti bahasa Arab atau bahasa Ibrani.

Selain itu, hal ini juga dapat digunakan oleh pencipta malware untuk menyesatkan pengguna agar mengunduh file berbahaya yang disamarkan, misalnya sebagai gambar.

Penyerang menggunakan karakter Unicode tersembunyi dalam nama file yang dapat membalik urutan karakter, sehingga mengganti nama file itu sendiri. Akibatnya, pengguna mengunduh malware tersembunyi yang kemudian dipasang di komputer mereka.

Baca juga: Telegram Dihapus di App Store, Ini Alasannya

Kaspersky Lab kemudian melaporkan kerentanan ini kepada Telegram dan, pada saat laporan ini dipublikasikan, kerentanan zero-day sudah tidak lagi ada sejak terakhir kali dilakukan pengamatan pada layanan pesan instan ini.

Selama proses analisis, para ahli Kaspersky Lab mengidentifikasi beberapa skenario eksploitasi zero-day “in the wild” oleh para pelaku ancaman. Pertama, kerentanan itu dimanfaatkan untuk mengirimkan malware mining, yang dapat membahayakan pengguna secara signifikan.

Kedua, setelah berhasil mengeksploitasi kerentanan, sebuah backdoor yang menggunakan API Telegram sebagai protokol command and control telah terinstal, yang memberikan hacker akses jarak jauh ke komputer milik korban.

Setelah instalasi, alat ini mulai beroperasi dalam mode senyap, yang memungkinkan pelaku ancaman tetap tidak terdeteksi dalam jaringan dan menjalankan perintah yang berbeda termasuk pemasangan alat-alat spyware lebih lanjut.

Dengan menggunakan kekuatan komputasi PC milik korban, penjahat siber menciptakan berbagai jenis cryptocurrency termasuk Monero, Zcash, Fantomcoin dan lain-lain. Selain itu, saat menganalisis server pelaku ancaman, ahli Kaspersky Lab menemukan arsip berisi cache lokal Telegram yang telah dicuri dari korban.

Namun dikatakan Alexey Firsh, semua dapat diminimalisir dengan melakukan berbagai langkah pencegahan berikut ini:

-Jangan mengunduh dan membuka file yang tidak diketahui dari sumber yang tidak tepercaya

-Cobalah untuk menghindari berbagi informasi pribadi yang sensitif dalam layanan pesan instan.

-Pasang solusi keamanan yang handal seperti Kaspersky Internet Security atau Kaspersky Free yang mendeteksi serta melindungi Anda dari semua kemungkinan ancaman, termasuk software mining berbahaya.

-Pelajari lebih lanjut tentang kerentanan zero-day yang ditemukan, termasuk detail teknis, pada postingan blog di Securelist.com.