Cyberthreat.id – Pelaku ancaman memanfaatkan hasil penelusuran yang dimanipulasi dan iklan Google palsu yang mengelabui pengguna yang ingin mengunduh perangkat lunak sah seperti WinSCP agar memasang malware.
The Hacker News menyebutkan perusahaan keamanan siber Securonix melacak aktivitas yang sedang berlangsung dengan nama SEO#LURKER.
“Iklan jahat tersebut mengarahkan pengguna ke situs web WordPress gameeweb[.]com yang telah disusupi, yang mengarahkan pengguna ke situs phishing yang dikendalikan penyerang,” kata peneliti keamanan Den Iuzvyk, Tim Peck, dan Oleg Kolesnikov dalam laporan yang dibagikan kepada The Hacker News.
Pelaku ancaman diyakini memanfaatkan Google’s Dynamic Search Ads (DSAs), yang secara otomatis menghasilkan iklan berdasarkan konten situs untuk menayangkan iklan berbahaya yang membawa korban ke situs yang terinfeksi.
Tujuan akhir dari rantai serangan multi-tahap yang kompleks ini adalah untuk menarik pengguna agar mengklik situs web WinSCP palsu yang mirip, winccp[.]net, dan mengunduh malware.
“Lalu lintas dari situs web gaweeweb[.]com ke situs web winccp[.]net palsu bergantung pada header perujuk yang benar dan disetel dengan benar,” kata para peneliti.
“Jika perujuknya salah, pengguna tersebut ‘Rickrolled’ dan dikirim ke video YouTube Rick Astley yang terkenal itu.”
Payload terakhir mengambil bentuk file ZIP (“WinSCP_v.6.1.zip”) yang dilengkapi dengan setup executable, yang ketika diluncurkan, menggunakan side-loading DLL untuk memuat dan mengeksekusi file DLL bernama python311.dll yang ada di dalamnya arsip.
DLL, pada bagiannya, mengunduh dan menjalankan penginstal WinSCP yang sah untuk menjaga tipu muslihat tersebut, sambil diam-diam menjatuhkan skrip Python (“slv.py” dan “wo15.py”) di latar belakang untuk mengaktifkan perilaku jahat. Ini juga bertanggung jawab untuk menyiapkan persistensi.
Kedua skrip Python dirancang untuk menjalin kontak dengan server jarak jauh yang dikendalikan aktor untuk menerima instruksi lebih lanjut yang memungkinkan penyerang menjalankan perintah enumerasi pada host.
“Mengingat fakta bahwa para penyerang memanfaatkan Google Ads untuk menyebarkan malware, dapat diyakini bahwa targetnya terbatas pada siapa saja yang mencari perangkat lunak WinSCP,” kata para peneliti.
“Pemblokiran geografis yang digunakan pada situs yang menampung malware menunjukkan bahwa orang-orang di AS adalah korban serangan ini.”
Ini bukan pertama kalinya Iklan Penelusuran Dinamis Google disalahgunakan untuk mendistribusikan malware. Akhir bulan lalu, Malwarebytes membuka kampanye yang menargetkan pengguna yang mencari PyCharm dengan tautan ke situs web yang diretas yang menghosting penginstal jahat yang membuka jalan bagi penyebaran malware pencuri informasi.
Malvertising semakin populer di kalangan penjahat dunia maya dalam beberapa tahun terakhir, dengan banyaknya kampanye malware yang menggunakan taktik serangan dalam beberapa bulan terakhir.
Awal pekan ini, Malwarebytes mengungkapkan peningkatan kampanye skimming kartu kredit pada Oktober 2023 yang diperkirakan telah menyusupi ratusan situs web e-niaga dengan tujuan mencuri informasi keuangan dengan memasukkan halaman pembayaran palsu yang meyakinkan.[]
