Microsoft mengatakan peretas meretas paket font yang diinstal oleh editor PDF dan menggunakannya untuk menginstal penambang mata uang kripto di komputer pengguna.
Perusahaan mengetahui insiden tersebut setelah karyawannya menerima peringatan dari Windows Defender ATP (versi komersial antivirus Windows Defender).
Karyawan Microsoft mengatakan mereka menyelidiki peringatan tersebut dan menyimpulkan bahwa peretas telah menyusupi infrastruktur server cloud perusahaan, yang menyediakan paket font sebagai file MSI ke perusahaan perangkat lunak lain. Salah satu dari mereka menggunakan paket ini untuk aplikasi editor PDF, yang mereka unduh dari server cloud vendor font selama prosedur instalasi editor.
"Penyerang membuat ulang seluruh infrastruktur [perusahaan pengembang] pada server replika, yang dimiliki dan dikendalikan oleh penyerang. Mereka menyalin dan menghosting semua file MSI di dalamnya, termasuk paket font bertanda tangan bersih," kata peneliti keamanan Microsoft. “Penyerang mendekompilasi dan memodifikasi salah satu paket font Asia untuk menyertakan penambang mata uang kripto yang tersembunyi,” tambah mereka.
"Menggunakan kerentanan yang tidak diketahui (yang tampaknya bukan MITM atau Dengan mencegat DNS), penyerang dapat memengaruhi parameter unduhan yang digunakan oleh aplikasi. Parameter tersebut mencakup tautan unduhan baru yang mengarah ke server penyerang," kata Microsoft.
Pengguna yang mengunduh dan meluncurkan aplikasi editor PDF tanpa sadar menginstal paket font, termasuk yang berbahaya, dari server peretas. Karena aplikasi editor PDF diinstal menggunakan hak istimewa tingkat SISTEM, kode penambang berbahaya yang tersembunyi memperoleh akses penuh ke sistem pengguna. Malware tersebut menciptakan prosesnya sendiri yang disebut xbox-service.exe, yang terlibat dalam penambangan mata uang kripto di komputer korban.
Microsoft mengatakan bahwa Windows Defender ATP mendeteksi perilaku khusus penambang. Para peneliti kemudian menelusuri asal mula proses ini ke penginstal editor PDF dan paket font MSI..
Mereka menyatakan bahwa mudah untuk menentukan paket font MSI mana yang berbahaya karena semua file MSI lainnya ditandatangani oleh perusahaan perangkat lunak asli, kecuali satu file yang kehilangan keasliannya ketika penipu menyuntikkan kode penambang ke dalamnya.
Penambang abu-abu ini juga menarik perhatian para spesialis karena ia juga mencoba mengubah file host dalam upaya yang lemah untuk menonaktifkan operasi pembaruan berbagai aplikasi keamanan. Operasi dengan file host di Windows ditandai oleh sebagian besar program antivirus sebagai mencurigakan atau berbahaya.
Microsoft tidak mengungkapkan nama kedua perusahaan perangkat lunak yang terlibat dalam insiden ini, hanya menunjukkan bahwa perusahaan yang diretas bukanlah pemain utama di pasar perangkat lunak PDF. Produsen OS mengatakan bahwa malware tersebut hanya aktif antara bulan Januari dan Maret 2018, dan masalah ini memengaruhi sejumlah kecil pengguna.
Berdasarkan materi dari BleepingComputer.com
Baca juga
Penyedia internet mulai menggunakan malware untuk penambangan
Seburuk apapun peretas dan situs web licik yang mencoba membajak kekuatan pemrosesan komputer Anda untuk menambang mata uang kripto, selalu ada hal yang lebih buruk yang akan terjadi - baru-baru ini dilaporkan bahwa beberapa penyedia internet kedapatan melakukan aktivitas serupa.
Instal Flash dengan harga penambangan cryptocurrency
Jika Anda mengira masalah dengan plugin Flash telah berhenti, maka Anda salah, masalah tersebut mendapatkan momentum, dan penipu menjadi lebih bijak dan kreatif.
