Cybethreat.id - Malvertising Google Search terbaru menargetkan pengguna yang ingin mengunduh editor teks Notepad++ yang populer, menggunakan teknik canggih untuk menghindari deteksi dan analisis.

BleepingComputer menuliskan bahwa pelaku ancaman semakin banyak menyalahgunakan Google Ads dalam maliklan untuk mempromosikan situs perangkat lunak palsu yang mendistribusikan malware.

Menurut Malwarebytes, yang melihat maliklan Notepad++, kampanye tersebut telah aktif selama beberapa bulan tetapi berhasil tidak terdeteksi selama ini.

Muatan terakhir yang dikirimkan ke korban tidak diketahui, namun Malwarebytes mengatakan kemungkinan besar itu adalah Cobalt Strike, yang biasanya mendahului penerapan ransomware yang sangat merusak.

Malvertising Notepad++ mempromosikan URL yang jelas-jelas tidak terkait dengan proyek perangkat lunak namun menggunakan judul menyesatkan yang ditampilkan dalam iklan hasil Google Search.

Strategi SEO ini banyak disalahgunakan dalam kasus ini, dan karena judul jauh lebih besar dan lebih terlihat dibandingkan URL, banyak orang yang cenderung terjebak.

Setelah korban mengklik salah satu iklan, langkah pengalihan akan memeriksa IP mereka untuk menyaring pengguna yang mungkin adalah crawler, VPN, bot, dll., yang mengarahkan mereka ke situs umpan yang tidak menjatuhkan apa pun yang berbahaya.

Sebaliknya, target yang sah dialihkan ke "notepadxtreme[.]com" yang meniru situs Notepad++ asli, yang menampilkan tautan unduhan untuk berbagai versi editor teks.

Saat pengunjung mengeklik tautan tersebut, pemeriksaan sidik jari sistem kedua dilakukan oleh cuplikan JavaScript untuk memvalidasi bahwa tidak ada anomali atau indikasi bahwa pengunjung menggunakan kotak pasir.

Korban yang ditandai sebagai target yang sesuai kemudian diberikan skrip HTA, yang diberi ID unik, yang memungkinkan penyerang melacak infeksi mereka. Payload tersebut hanya dilayani satu kali per korban, sehingga kunjungan kedua menghasilkan kesalahan 404.

Pemeriksaan Malwarebytes terhadap HTA tidak menghasilkan informasi berguna apa pun karena HTA tersebut tidak dijadikan senjata pada saat itu, namun para analis menemukan file yang sama dalam unggahan VirusTotal dari bulan Juli.

File tersebut mencoba untuk terhubung ke domain jarak jauh melalui port khusus, dan para peneliti yakin bahwa file tersebut kemungkinan merupakan bagian dari penerapan Cobalt Strike.

Untuk menghindari pengunduhan malware saat mencari perangkat lunak tertentu, lewati hasil yang dipromosikan di Google Search dan periksa kembali apakah Anda telah masuk ke domain resmi.

Jika tidak yakin tentang situs web proyek yang sebenarnya, periksa halaman " About", dokumentasi, halaman Wikipedia, dan saluran media sosial resmi.[]