Cyberthreat.id - Pelaku ancaman membuat situs web palsu yang menghosting penginstal perangkat lunak trojan untuk mengelabui pengguna yang tidak menaruh curiga agar mengunduh malware yang disebut Fruity dengan tujuan menginstal alat trojan jarak jauh seperti Remcos RAT.

“Di antara perangkat lunak yang dimaksud adalah berbagai instrumen untuk menyempurnakan CPU, kartu grafis, dan BIOS; alat pemantauan perangkat keras PC; dan beberapa aplikasi lainnya,” kata vendor keamanan siber Doctor Web dalam sebuah analisis sebagaimana dikutip The Hacker News.

"Installer semacam itu digunakan sebagai umpan dan berisi tidak hanya perangkat lunak yang diminati calon korban, tetapi juga trojan itu sendiri dengan semua komponennya."

Vektor akses awal yang tepat yang digunakan dalam kampanye tidak jelas, tetapi berpotensi berkisar dari phishing hingga unduhan drive-by hingga iklan berbahaya. Pengguna yang masuk ke situs palsu diminta untuk mengunduh paket penginstal ZIP.

Pemasang, selain mengaktifkan proses instalasi standar, secara diam-diam menjatuhkan trojan Fruity, malware berbasis Python yang membongkar file MP3 ("Idea.mp3") untuk memuat file gambar ("Fruit.png") untuk mengaktifkan multi- infeksi stadium.

"File gambar ini menggunakan metode steganografi untuk menyembunyikan dua executable (.dll library) dan kode shell untuk inisialisasi tahap selanjutnya di dalamnya," kata Doctor Web.

Fruity juga dirancang untuk mem-bypass deteksi antivirus pada host yang disusupi dan pada akhirnya meluncurkan muatan RAT Remcos menggunakan teknik yang disebut proses doppelgänging.

Konon, menurut The Hacker News, urutan serangan dapat dieksploitasi untuk mendistribusikan semua jenis malware, yang mengharuskan pengguna untuk tetap mengunduh perangkat lunak hanya dari sumber yang dapat dipercaya.

Perkembangan tersebut terjadi ketika Bitdfender mengungkapkan detail kampanye malspam yang mengirimkan malware Agen Tesla untuk mengambil data sensitif dari titik akhir yang disusupi.

Ini juga mengikuti lonjakan operasi malvertising yang menargetkan pelanggan dan bisnis dengan perangkat lunak tercemar yang didorong melalui iklan di mesin pencari.

Ini termasuk gelombang serangan baru yang dijuluki Nitrogen di mana arsip ISO penipuan didistribusikan menggunakan iklan palsu yang meniru halaman unduhan untuk aplikasi seperti AnyDesk, WinSCP, Cisco AnyConnect, Slack, dan TreeSize.

"Kampanye malvertising ini mengarah pada penyebaran infeksi setelah paparan awal," kata peneliti Bitdefender, Victor Vrabie dan Alexandru Maximciuc.

"Selama mereka tinggal di jaringan korban, tujuan utama penyerang adalah untuk mendapatkan kredensial, mengatur kegigihan pada sistem penting dan mengekstraksi data, dengan pemerasan sebagai tujuan akhir."[]