Cyberthreat.id - Pemuat malware yang dikenal sebagai PikaBot didistribusikan sebagai bagian dari aktivitas malvertising yang menargetkan pencari perangkat lunak sah seperti AnyDesk.

“PikaBot sebelumnya hanya didistribusikan melalui kampanye malspam yang mirip dengan QakBot dan muncul sebagai salah satu muatan pilihan untuk pelaku ancaman yang dikenal sebagai TA577,” kata Jérôme Segura dari Malwarebytes kepada The Hacker News.

Keluarga malware yang pertama kali muncul pada awal tahun 2023 ini terdiri dari pemuat dan modul inti yang memungkinkannya beroperasi sebagai pintu belakang serta distributor muatan lainnya.

Hal ini memungkinkan pelaku ancaman mendapatkan akses jarak jauh tanpa izin ke sistem yang disusupi dan mengirimkan perintah dari server perintah-dan-kontrol (C2), mulai dari shellcode, DLL, atau file yang dapat dieksekusi, hingga alat jahat lainnya seperti Cobalt Strike.

Salah satu pelaku ancaman yang memanfaatkan PikaBot dalam serangannya adalah TA577, pelaku ancaman kejahatan siber produktif yang sebelumnya pernah meluncurkan QakBot, IcedID, SystemBC, SmokeLoader, Ursnif, dan Cobalt Strike.

Bulan lalu, diketahui bahwa PikaBot, bersama dengan DarkGate, disebarkan melalui kampanye malspam yang mirip dengan QakBot. “Infeksi Pikabot menyebabkan Cobalt Strike pada 207.246.99[.]159:443 menggunakan masterunis[.]net sebagai domainnya,” ungkap Palo Alto Networks Unit 42 baru-baru ini.

Vektor infeksi awal terbaru adalah iklan Google berbahaya untuk AnyDesk yang, ketika korban diklik dari halaman hasil pencarian, akan dialihkan ke situs web palsu bernama anadesky.ovmv[.]net yang mengarah ke penginstal MSI berbahaya yang dihosting di Dropbox.

Perlu diperhatikan bahwa pengalihan ke situs web palsu hanya terjadi setelah permintaan sidik jari, dan hanya jika permintaan tersebut tidak berasal dari mesin virtual.

“Pelaku ancaman melewati pemeriksaan keamanan Google dengan URL pelacakan melalui platform pemasaran yang sah untuk mengalihkan ke domain khusus mereka di belakang Cloudflare,” jelas Segura. "Saat ini, hanya alamat IP bersih yang diteruskan ke langkah berikutnya."

Menariknya, sidik jari putaran kedua terjadi ketika korban mengklik tombol unduh di situs web, kemungkinan sebagai upaya tambahan untuk memastikan bahwa situs tersebut tidak dapat diakses di lingkungan virtual.

Malwarebytes mengatakan serangan tersebut mengingatkan pada rantai malvertising yang diidentifikasi sebelumnya yang digunakan untuk menyebarkan malware loader lain yang dikenal sebagai FakeBat (alias EugenLoader).

“Hal ini sangat menarik karena menunjuk pada proses umum yang digunakan oleh berbagai pelaku ancaman,” kata Segura. "Mungkin, ini mirip dengan 'malvertising-as-a-service' di mana iklan Google dan halaman umpan diberikan kepada distributor malware."

Pengungkapan ini terjadi ketika perusahaan keamanan siber mengatakan mereka mendeteksi lonjakan iklan berbahaya melalui pencarian Google untuk perangkat lunak populer seperti Zoom, Advanced IP Scanner, dan WinSCP untuk menghadirkan loader yang belum pernah dilihat sebelumnya bernama HiroshimaNukes serta FakeBat.

“Ia menggunakan beberapa teknik untuk melewati deteksi dari pemuatan samping DLL ke muatan yang sangat besar,” kata Segura. “Tujuannya adalah untuk menjatuhkan malware tambahan, biasanya pencuri yang diikuti dengan penyelundupan data.”

Meningkatnya maliklan merupakan indikasi bagaimana serangan berbasis browser bertindak sebagai saluran untuk menyusup ke jaringan target. Hal ini juga mencakup kerangka ekstensi Google Chrome baru dengan nama sandi ParaSiteSnatcher, yang memungkinkan pelaku ancaman untuk "memantau, memanipulasi, dan menyaring informasi yang sangat sensitif dari berbagai sumber."

Dirancang khusus untuk menyusupi pengguna di Amerika Latin, ekstensi jahat ini terkenal karena penggunaan API Browser Chrome untuk mencegat dan mengambil alih semua permintaan POST yang berisi informasi akun dan keuangan sensitif. Itu diunduh melalui pengunduh VBScript yang dihosting di Dropbox dan Google Cloud dan diinstal ke sistem yang terinfeksi.

“Setelah dipasang, ekstensi tersebut bermanifestasi dengan bantuan izin ekstensif yang diaktifkan melalui ekstensi Chrome, memungkinkannya memanipulasi sesi web, permintaan web, dan melacak interaksi pengguna di beberapa tab menggunakan API tab Chrome,” kata Trend Micro bulan lalu.

“Malware tersebut mencakup berbagai komponen yang memfasilitasi operasinya, skrip konten yang memungkinkan injeksi kode berbahaya ke halaman web, memantau tab Chrome, dan mencegat input pengguna dan komunikasi browser web.”[]