Cyberthreat.id - Operasi malvertising yang dirancang untuk menginfeksi online publishers dengan malware pembajak peramban yang disebut Ghostcat-3PC dilaporkan telah meluncurkan setidaknya 18 kampanye infeksi terpisah dalam tiga bulan terakhir ini.

Demikian laporan baru dari tim Digital Security & Operations (DSO) di The Media Trust yang dipublikasikan SC Magazine. Selama waktu itu, tim DSO menghentikan lebih dari 130 serangan berbeda.

Sejauh ini, pemilik Ghostcat menargetkan pengunjung situs web yang berbasis di AS dan Eropa. Tujuannya untuk membajak sesi peramban seluler mereka. Pada titik ini, menurut DSO, setidaknya ada empat versi malware yang berbeda, yang memanfaatkan kode yang dikaburkan dan pola pengiriman untuk menghindari deteksi berbasis tanda tangan.

Infeksi dimulai ketika pengguna mengunjungi situs web dan mengirimkan iklan jahat. Pada titik ini, malware Ghostcat sidik jari peramban untuk menentukan apakah iklan berjalan pada halaman web asli (sebagai lawan dari lingkungan kotak pasir) dan apakah itu berjalan di salah satu dari lebih 100 penerbit yang ditargetkan khusus. Jika jawaban untuk kedua pertanyaan tersebut adalah ya, maka URL bersambung berbahaya akan disajikan.

URL ini memberikan JavaScript yang dikaburkan yang, setelah didekripsi, mengeksekusi kode tertanam yang memeriksa kondisi tambahan. Malware memastikan kode telah dikirim ke perangkat seluler dan peramban khusus seluler, perangkat pengguna tersebut berada di negara yang ditargetkan, dan kode tersebut tidak berjalan di lingkungan sandbox.

"Jika pemeriksaan menyimpulkan bahwa pengguna sesuai dengan profil yang ditargetkan, malware akan menambahkan skrip berbahaya ke akhir halaman, menetapkan URL yang dikaburkan sebagai sumbernya, dan memulai sembulan curang," tulis laporan itu. "Jika diklik, akan mengarahkan pengguna ke konten berbahaya."

Para penyerang di belakang kampanye ini memecah dan mengaburkan URL mereka sebagai trik untuk mengelabui skrip pemblokir publishers, mencegah mereka dari mendeteksi tanda tangan berbahaya dan mengidentifikasi domain berbahaya, The Media Trust melaporkan.

"DSO terus melacak serangan itu, mengetahui lebih banyak insiden yang melibatkan iterasi kode berbahaya lainnya kemungkinan masih ada di alam liar, menyerang situs web yang dilindungi buruk dan menginfeksi pengguna mereka," kata laporan itu.

Sementara itu, The Media Trust merekomendasikan agar publishers meninjau log mereka untuk keberadaan domain jahat, menerapkan pemblokir pintar, dan berkoordinasi dengan mitra digital hulu untuk menghapus iklan berbahaya.[]