Pelaku kejahatan siber alias hacker atau peretas makin gila dalam melancarkan aksinya. Segala cara digunakan, termasuk yang terbaru adalah temuan yang menyalahgunakan platform Google Ads untuk menyebarkan malware ke pengguna yang menelusuri produk software populer.
Produk yang ditiru dalam aksi jahat ini di antaranya adalah Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird, dan Brave.
Dilansir dari BleepingComputer via TechRadar, pelaku ancaman siber ini melancarkan aksinya dengan metode kloning. Mereka mengkloning situs web resmi dari proyek di atas dan mendistribusikan versi trojan dari perangkat lunak saat pengguna mengklik tombol unduh.
Beberapa malware yang dikirim ke sistem korban dengan cara ini termasuk varian Raccoon Stealer, versi kustom dari Vidar Stealer, dan pemuat malware IcedID. Contoh lainnya adalah aksi yang menggunakan portal MSI Afterburner palsu untuk menginfeksi pengguna dengan pencuri RedLine.
Namun, satu detail yang hilang adalah bagaimana pengguna diekspos ke situs web ini, sebuah informasi yang kini telah diketahui. Dua laporan dari Guardio Labs dan Trend Micro menjelaskan bahwa situs web jahat ini dipromosikan ke audiens yang lebih luas melalui kampanye Iklan Google.
Caranya, platform Google Ads membantu pengiklan mempromosikan halaman di Google Penelusuran, menempatkannya di urutan teratas dalam daftar hasil sebagai iklan, seringkali di atas situs resmi proyek.
Ini berarti bahwa pengguna yang mencari perangkat lunak yang sah di browser tanpa pemblokir iklan aktif akan melihat promosi terlebih dahulu dan cenderung mengkliknya karena tampilannya sangat mirip dengan hasil pencarian yang sebenarnya.
Jika Google mendeteksi bahwa situs arahan berbahaya, aksi ini akan diblokir, dan iklan dihapus, jadi pelaku ancaman perlu menggunakan trik pada langkah tersebut untuk melewati pemeriksaan otomatis Google.
Menurut Guardio dan Trend Micro, triknya adalah mengarahkan korban yang mengklik iklan ke situs yang tidak relevan namun aman yang dibuat oleh pelaku ancaman, lalu mengarahkan mereka ke situs berbahaya yang meniru proyek perangkat lunak.
“Saat situs-situs terselubung itu dikunjungi oleh pengunjung yang ditargetkan, server segera mengarahkan mereka ke situs nakal dan dari sana ke muatan berbahaya,” jelas Guardio Labs dalam laporan tersebut .
Muatan, yang datang dalam bentuk ZIP atau MSI, diunduh dari layanan berbagi file dan hosting kode terkemuka seperti GitHub, Dropbox, atau CDN Discord. Ini memastikan bahwa program anti-virus apa pun yang berjalan di mesin korban tidak akan menolak pengunduhan.
Guardio Labs juga mengatakan bahwa dalam kampanye yang mereka amati pada bulan November, aktor ancaman memikat pengguna dengan Grammarly versi trojan yang mengirimkan Raccoon Stealer.
Malware dibundel dengan perangkat lunak yang sah. Pengguna akan mendapatkan apa yang mereka unduh namun di sisi lain, malware akan dipasang secara diam-diam.
Laporan Trend Micro, yang berfokus pada kampanye IcedID juga mengatakan pelaku ancaman menyalahgunakan Sistem Arah Lalu Lintas Keitaro untuk mendeteksi apakah pengunjung situs web adalah peneliti atau korban yang valid sebelum pengalihan terjadi. Penyalahgunaan TDS ini dikatakan sudah terlihat sejak 2019 lalu.
Pengguna internet di manapun berada harus berhati-hati. Salah satu cara yang baik untuk memblokir kampanye ini adalah dengan mengaktifkan pemblokir iklan di browser web Anda, yang memfilter hasil yang dipromosikan dari Google Penelusuran.
Tindakan pencegahan lainnya adalah menggulir ke bawah hingga Anda melihat domain resmi dari proyek perangkat lunak yang Anda cari. Jika tidak yakin, domain resmi terdaftar di halaman Wikipedia perangkat lunak.
Jika Anda sering mengunjungi situs web proyek perangkat lunak tertentu untuk sumber pembaruan, lebih baik menandai URL dan menggunakannya untuk akses langsung. Tanda umum lainnya bahwa penginstal yang akan Anda unduh berbahaya adalah ukuran file yang tidak normal, jadi waspadalah.
Comments
Post a Comment