Belum lama ini, Arbor Network melaporkan bahwa terdapat varian baru botnet yang telah berhasil menginfeksi malware ke lebih dari 25.000 komputer yang bersistem operasi Windows. Botnet ini mengggunakan metode yang belum diketahui caranya untuk menginfeksi korbannya. Hal yang pasti adalah, sekali terinfeksi, komputer korban akan dapat digunakan untuk menyebarkan botnet baru ini untuk menyerang sistem lain.
Peneliti dari Arbor Security Engineering & Response Team (ASERT), Matthew Bing, mengatakan bahwa Arbor ASERT telah melakukan pelacakan terhadap botnet yang biasa dipanggil dengan Fort Disco ini sejak bulan mei 2013. Mereka telah berhasil mengidentifikasi 6 situs command-and-control (C&C) yang mengendalikan lebih dari 25.000 mesin Windows yang terinfeksi botnet. Diklaim oleh mereka bahwa situs-situs pengendali itu kebanyakan berasal dari Rusia dan Ukraina. Setelah terinfeksi oleh Fort Disco, maka mesin Windows akan melakukan serangan brute force untuk menebak password dari suatu blog dan CMS yang menggunakan PHP. Sampai saat ini, diduga telah lebih dari 6.000 instalasi Joomla, WordPress dan Datalife Engine yang menjadi korban serangan bruteforce.
Pada kesempatan itu, Matthew Bing mengatakan bahwa pola serangan ini memiliki beberapa fitur canggih yang membuatnya mustahil untuk sepenuhnya dilacak. Tidak hanya itu, cara agar malware ini dapat ter-install di dalam sistem pun masih belum jelas. Dia dan timnya baru mampu menemukan nama asli dari malware ini yaitu “maykl_lyuis_bolshaya_igra_na_ponizhenie.exe”. Nama malware ini merujuk ke buku karangan Michael Lewis yang berjudul “The Big Short: Inside The Doomsday Machine” dalam bahasa Rusia yang di dalamnya terdapat executable attachment. Nama file lainnya yaitu, “proxycap_crack.exe” yang merujuk pada crack dari program ProxyCap.
Bing menambahkan bahwa masih belum diketahui motif dari pengumpulan password. Walaupun begitu, masalah pencurian password telah menjadi masalah serius bagi komunitas keamanan. Banyak kelompok yang menargetkan forum profesional telah tertangkap. Mereka berharap untuk dapat mencuri detail dari login pengguna yang akan digunakan untuk hal-hal berbahaya.
Ilustrasi gambar dari DailyTech dan DigitalTrends.
sumber : Inhere
