Cyberthreat.id – Peretas meniru sejumlah produk terkenal, seperti Grammarly, Malwarebytes, TeamViewer dan lain-lain untuk menyebarkan perangkat lunak jahat (malware).

Aktivitas jahat itu memanfaatkan platform Google Ads sehingga calon korban tidak menaruh curiga ketika mengunduh perangkat lunak tersebut.

“Pelaku mengkloning situsweb resmi dan mendistribusikan software versi trojan,” tulis BleepingComputer diakses Kamis (29 Desember 2022).

Laporan tersebut diungkapkan oleh Guardio Labs yang diunggah di blog Medium-nya.

Sejumlah software terkenal yang dikloning peretas, antara lain Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird, dan Brave.

Mendompleng nama-nama tersebut, peretas selanjutnya menaruh trojan, seperti Racoon Stealer, Vidar Stealer, dan pemuat malware IcedID.

Platform Google Ads memang membantu pengiklan mempromosikan halaman di Google Search dan menempatkan hasil pencairan di urutan teratas sebagai iklan, bahkan seringkali di atas situsweb resmi.

---

Halaman web palsu yang diarahkan oleh peretas. Sumber: Guardio Labs

---

Ketika pengguna yang mencari perangkat lunak sah di browser, tapi tanpa pemblokir iklan aktif, mereka akan melihat iklan terlebih dahulu. Ini yang membuat pengguna terjebak oleh tampilan yang sangat mirip dengan produk asli.

Menurut Guardio Labs dan laporan perusahaan keamanan TrendMicro, trik pelaku yaitu mengarahkan calon korban yang mengklik iklan ke situsweb yang tidak relevan, tapi aman, lalu mengarahkan mereka ke situsweb berbahaya yang meniru perangkat lunak sah.

Muatan dalam bentuk ZIP atau MSI, diunduh dari layanan berbagi file dan hosting kode terkemuka seperti GitHub, Dropbox, atau CDN Discord. Ini yang meyakinkan bahwa program anti-virus apa pun yang berjalan di mesin calon korban tidak akan menolak pengunduhan.

Guardio Labs mengatakan bahwa dalam kampanye yang mereka amati pada November lalu, peretas memikat pengguna Grammarly, kemudian mengarahkan untuk mengunduh Raccoon Stealer.

Malware dibundel dengan perangkat lunak yang sah. Pengguna akan mendapatkan apa yang mereka unduh dan malware akan dipasang secara diam-diam.

Salah satu cara yang baik untuk memblokir serangan seperti itu ialah dengan mengaktifkan pemblokir iklan di browser. Dengan begitu, alat ini memfilter hasil yang dipromosikan dari Google Search.

“Tanda umum bahwa penginstal yang akan diunduh terindikasi berbahaya adalah ukuran file yang tidak normal,” tulis BleepingComputer.

Cara lain ialah setelah melakukan pencarian, pengguna harus mencari domain resmi dari perangkat lunak yang dibutuhkan.

Selalu perhatikan tulisan nama domain, karena peretas biasanya meniru domain asli dengan menambahkan atau mengurangi satu huruf nama domain—kejahatan ini seringkali disebut typosquatting.

Jika tidak yakin dengan nama situswebnya, pengguna bisa mengecek di domain resmi yang terdaftar di halaman Wikipedia produk tersebut.[]