FinSpy - malware pengintai paling berbahaya ini kembali menginfeksi target profil tinggi menggunakan eksploitasi Adobe Flash zero-day melalui dokumen Microsoft Office. Peneliti keamanan dari Kaspersky Labs telah menemukan kerentanan eksekusi remote di Adobe Flash, yang secara aktif dieksploitasi oleh sekelompok penjahat cyber yang dikenal dengan nama BlackOasis.


Kerentanan tersebut dikenal sebagai CVE-2017-11292, dapat menyebabkan remote code execution dan mempengaruhi Flash Player 21.0.0.226 untuk sistem operasi utama termasuk Windows, Macintosh, Linux dan Chrome OS. Peneliti keamanan mengatakan bahwa Black Oasis adalah kelompok penyerang yang sama yang ditemukan oleh peneliti FireEye pada bulan September 2017 lalu.

FinSpy dalam serangan tersebut memanfaatkan Flash zero-day (CVE-2017-11292) yang memiliki command and control (C&C) server dengan payload CVE-2017-8759 (yaitu Windows .NET Framework remote code execution). Sejauh ini BlackOasis telah menargetkan korban di berbagai negara termasuk Rusia, Irak, Afghanistan, Nigeria, Libya, Yordania, Tunisia, Arab Saudi, Iran, Belanda, Bahrain, Inggris dan Angola. Flash zero-day exploit dilaporkan setidaknya merupakan serangan ke 5 yang dilakukan oleh kelompok BlackOasis sejak Juni 2015. Eksploitasi zero-day memanfaatkan dokumen Microsoft Office, terutama Word, yang dilampirkan ke email spam yang telah tertanam objek ActiveX yang berisi Flash exploit.

FinSpy adalah alat spionase rahasia yang sebelumnya dikaitkan dengan Gamma Group, sebuah perusahaan Inggris yang secara legal menjual perangkat lunak spionase yang dipergunakan untuk menyerang instansi pemerintah di seluruh dunia. FinSpy juga dikenal sebagai FinFisher, memiliki kemampuan mata-mata yang luas pada sistem yang terinfeksi, termasuk melakukan pengawasan langsung dengan menyalakan kamera dan mikrofonnya, merekam semua jenis aktifitas keyboard, membajak panggilan Skype dan penyimpanan file.

Untuk masuk ke sistem target, FinSpy menggunakan vektor serangan yang bervariasi termasuk phishing, pemasangan manual dengan akses fisik ke perangkat target, eksploitasi zero-day, dan watering hole attacks. "Kami telah melihat distribusi FinSpy baru-baru ini melalui eksploitasi terhadap kerentanan zero-day," kata Anton Ivanov, pemimpin analis malware Kaspersky.

Kaspersky Lab melaporkan kerentanan terhadap Adobe, dan perusahaan tersebut telah mengatasi kerentanan tersebut dengan merilis versi Adobe Flash Player 27.0.0.159 dan 27.0.0.130. Bulan lalu, para peneliti ESET menemukan unduhan dari beberapa aplikasi populer seperti WhatsApp, Skype, VLC Player dan WinRAR (dilaporkan telah dibajak di tingkat ISP) yang juga mendistribusikan FinSpy.

Jadi, bisnis dan organisasi pemerintah di seluruh dunia sangat disarankan untuk menginstal pembaruan dari Adobe sesegera mungkin. Microsoft juga kemungkinan akan merilis update keamanan untuk menambal komponen yang digunakan oleh produknya.
 
Top