Cyberthreat.id – Peneliti dari Microsoft Security Threat Intelligence mengungkapkan bahwa pihaknya mengamati kluster ancaman yang sedang berkembang menggunakan Google Ads di salah satu kampanyenya untuk mendistribusikan berbagai payload pasca-kompromi, termasuk ransomware Royal yang baru ditemukan.

Dikutip dari The Hacker News, peneliti mengatakan pihaknya melihat metode pengiriman malware yang diperbarui pada akhir Oktober 2022. Mereka juga melacak grup tersebut dengan nama DEV-0569.

“Serangan DEV-0569 yang diamati menunjukkan pola inovasi berkelanjutan, dengan penggabungan reguler teknik penemuan baru, penghindaran pertahanan, dan berbagai muatan pasca-kompromi, di samping peningkatan fasilitasi ransomware,” kata peneliti Microsoft.

Menurut para peneliti, pelaku ancaman diketahui mengandalkan malvertising untuk mengarahkan korban yang tidak menaruh curiga ke tautan pengunduh malware yang berperan sebagai penginstal perangkat lunak untuk aplikasi yang sah seperti Adobe Flash Player, AnyDesk, LogMeIn, Microsoft Teams, dan Zoom.

Pengunduh malware, jenis yang disebut BATLOADER, adalah penetes yang berfungsi sebagai saluran untuk mendistribusikan muatan tahap berikutnya. Telah diamati untuk berbagi tumpang tindih dengan malware lain yang disebut ZLoader.

Analisis BATLOADER baru-baru ini oleh eSentire dan VMware menyebut siluman dan kegigihan malware, selain penggunaan peracunan optimisasi mesin pencari (SEO) untuk memikat pengguna mengunduh malware dari situs web yang disusupi atau domain yang dibuat penyerang. Alternatifnya, tautan phishing dibagikan melalui email spam, halaman forum palsu, komentar blog, dan bahkan formulir kontak yang ada di situs web organisasi yang ditargetkan.

“DEV-0569 telah menggunakan berbagai rantai infeksi menggunakan PowerShell dan skrip batch yang pada akhirnya mengarah pada pengunduhan muatan malware seperti pencuri informasi atau alat manajemen jarak jauh yang sah yang digunakan untuk bertahan di jaringan,” kata peneliti.

Peneliti mengatakan, alat yang juga digunakan adalah NSudo untuk meluncurkan program dengan hak istimewa yang lebih tinggi dan merusak pertahanan dengan menambahkan nilai registri yang dirancang untuk menonaktifkan solusi antivirus.

Penggunaan Google Ads untuk mengirimkan BATLOADER secara selektif menandai diversifikasi vektor distribusi DEV-0569, memungkinkannya menjangkau lebih banyak target dan mengirimkan muatan malware, kata perusahaan tersebut. Hal ini akan memposisikan grup untuk berfungsi sebagai broker akses awal untuk operasi ransomware lainnya, bergabung dengan malware seperti Emotet, IcedID, Qakbot.

“Karena skema phishing DEV-0569 menyalahgunakan layanan yang sah, organisasi juga dapat memanfaatkan aturan aliran email untuk menangkap kata kunci yang mencurigakan atau meninjau pengecualian yang luas, seperti yang terkait dengan rentang IP dan daftar izin tingkat domain,” kata Microsoft.