Cyberthreat.id – Aktivitas malvertising terbaru ditemukan menggunakan situs palsu yang menyamar sebagai portal berita Windows yang sah. Tujuannya untuk menyebarkan penginstal jahat untuk alat pembuatan profil sistem populer yang disebut CPU-Z.

“Insiden ini adalah bagian dari kampanye malvertising yang lebih besar yang menargetkan utilitas lain seperti Notepad++, Citrix, dan VNC Viewer seperti yang terlihat pada infrastrukturnya (nama domain) dan templat penyelubungan yang digunakan untuk menghindari deteksi,” kata Jérôme Segura dari Malwarebytes sebagaimana dikutip The Hacker News.

Meskipun kampanye malvertising diketahui membuat situs replika yang mengiklankan perangkat lunak yang banyak digunakan, aktivitas terbaru ini menandai adanya penyimpangan karena situs web tersebut meniru WindowsReport[.]com.

Tujuannya adalah untuk mengelabui pengguna yang tidak menaruh curiga yang mencari CPU-Z di mesin pencari seperti Google dengan menayangkan iklan berbahaya yang, ketika diklik, mengarahkan mereka ke portal palsu (workspace-app[.]online).

Pada saat yang sama, pengguna yang bukan korban kampanye akan disuguhi blog tidak berbahaya dengan artikel berbeda, sebuah teknik yang dikenal sebagai penyelubungan.

Penginstal MSI bertanda tangan yang dihosting di situs web jahat berisi skrip PowerShell berbahaya, pemuat yang dikenal sebagai FakeBat (alias EugenLoader), yang berfungsi sebagai saluran untuk menyebarkan RedLine Stealer pada host yang disusupi.

“Ada kemungkinan pelaku ancaman memilih membuat situs umpan yang tampak seperti Windows Report karena banyak utilitas perangkat lunak yang sering diunduh dari portal tersebut dan bukan dari halaman web resmi mereka,” kata Segura.

Ini bukan pertama kalinya Google Ads yang menipu untuk perangkat lunak populer ternyata menjadi vektor distribusi malware. Pekan lalu, perusahaan keamanan siber eSentire mengungkapkan rincian kampanye Nitrogen terbaru yang membuka jalan bagi serangan ransomware BlackCat.

Dua kampanye lain yang didokumentasikan oleh perusahaan keamanan siber Kanada menunjukkan bahwa metode pengunduhan drive-by yang mengarahkan pengguna ke situs web yang meragukan telah dimanfaatkan untuk menyebarkan berbagai jenis malware seperti NetWire RAT, DarkGate, dan DanaBot dalam beberapa bulan terakhir.

Perkembangan ini terjadi ketika pelaku ancaman semakin bergantung pada perangkat phishing adversary-in-the-middle (AiTM) seperti NakedPages, Strox, dan DadSec untuk menerobos autentikasi multi-faktor dan membajak akun yang ditargetkan.

Selain itu, eSentire juga meminta perhatian pada metode baru yang dijuluki serangan Wiki-Slack, sebuah serangan yang diarahkan ke pengguna yang bertujuan untuk mengarahkan korban ke situs web yang dikendalikan penyerang dengan merusak bagian akhir paragraf pertama artikel Wikipedia dan membagikannya.

Secara khusus, ia mengeksploitasi kekhasan di Slack yang "salah menangani spasi antara paragraf pertama dan kedua" untuk menghasilkan tautan secara otomatis ketika URL Wikipedia ditampilkan sebagai pratinjau di platform perpesanan perusahaan.

Perlu diperhatikan bahwa prasyarat utama untuk melakukan serangan ini adalah kata pertama pada paragraf kedua artikel Wikipedia harus merupakan domain tingkat atas (misalnya, di, di, com, atau net) dan kedua paragraf tersebut harus muncul dalam 100 kata pertama artikel.

Dengan pembatasan ini, ancaman dapat mempersenjatai perilaku ini sedemikian rupa sehingga cara Slack memformat hasil pratinjau halaman yang dibagikan mengarah ke tautan berbahaya yang, setelah diklik, akan membawa korban ke situs jebakan.

“Jika seseorang tidak memiliki batasan etis, mereka dapat meningkatkan permukaan serangan Wiki-Slack dengan mengedit halaman Wikipedia yang diinginkan untuk merusaknya,” kata eSentire.[]