Jakarta - Apache adalah web server yang paling banyak dipakai di dunia, secara global Apache menjadi server untuk lebih dari separuh situs di dunia. Namun popularitas Apache ternyata menarik minat penjahat cyber untuk melakukan teror.
Perusahaan keamanan dan antivirus Eset, baru-baru ini melansir laporan terbongkarnya jaringan malware yang menyerang sistim web server Apache. Malware tersebut berhasil dideteksi dan diidentifikasi sebagai Linux/Chapro.A.
Aksi utama dari malware Linux/Chapro.A ini adalah meng-inject aplikasi bermuatan malware ke web page yang kemudian ditampilkan oleh web server yang berhasil diretas tersebut.
"Serangan tersebut menunjukkan adanya peningkatan kompleksitas dari serangan yang dilakukan oleh malware. Kasus-kasus dengan kompleksitas seperti ini menyebar di lebih dari tiga negara, dengan target tertentu sehingga menyulitkan para penegak hukum untuk melakukan investigasi dan mitigasi dampak yang ditimbulkan," tutur Pierre-Marc Bureau, Security Intelligence Program Manager dari Eset, dalam keterangannya.
Ada dua hal yang menarik dari Linux/Chapro.A, yaitu kemampuannya untuk sembunyi sehingga sulit tertangkap oleh system administrators, seperti setting cookies pada sistem yang terinfeksi, kemudian sembunyi.
Para peneliti malware Eset pertama kali mendeteksi Linux/Chapro.A pada November 2012 yang kemudian diblok oleh Eset dengan deteksi generic -- Advanced Heuristic. Pada saat proses analisa dilakukan, host dari C&C servernya terdeteksi berada di Jerman. Tetapi tidak lama kemudian offline, lalu menghilang.
Dari analisa yang dilakukan Eset, iframe yang di-inject oleh Linux/Chapro.A menunjuk pada exploit pack pada page 'Sweet Orange'.
"Host dari exploit pack tersebut berada di Lithuania. Pack tersebut mencoba masuk ke beberapa celah yang ada di web browser dan plugins," imbuh Pierre.
"Setelah dilakukan investigasi lebih jauh, terdeteksi aktifitas penyebaran salah satu varian malware Win32/Zbot, atau dikenal juga dengan ZeuS. Beberapa tahun belakangan ini Zeus memang terkenal sebagai malware pencuri data khususnya data perbankan," lanjutnya.
Sejauh ini periset Eset belum melihat adanya aktifitas instalasi malware Linux/Chapro.A yang baru, setelah dilakukan pengamatan terhadap ribuan user yang mengakses Sweet Orange exploit pack sebelum Eset memblok akses ke server.
Comments