Informasi Berita

Peringatan: Iklan Google yang Menyamar Menyebabkan Pengguna WinSCP Terinfeksi Malware selama Proses Instalasi.

Kampanye SEO#LURKER

Pelaku ancaman menggunakan hasil pencarian yang dimanipulasi dan iklan Google palsu untuk mengelabui pengguna yang mencari perangkat lunak sah seperti WinSCP agar mengunduh malware. Perusahaan keamanan siber Securonix melacak aktivitas yang sedang berlangsung ini dengan nama SEO#LURKER. Iklan berbahaya tersebut mengarahkan pengguna ke situs web WordPress gameeweb[.]com yang telah disusupi, yang mengarahkan pengguna ke situs phishing yang dikendalikan penyerang. Pelaku ancaman diyakini memanfaatkan Iklan Penelusuran Dinamis (DSA) Google, yang secara otomatis menghasilkan iklan berdasarkan konten situs untuk menayangkan iklan berbahaya yang mengarahkan korban ke situs yang terinfeksi. Tujuan akhir dari rantai serangan multi-tahap yang kompleks ini adalah untuk menarik pengguna agar mengklik situs web WinSCP palsu yang mirip, winccp[.]net, dan mengunduh malware.

Serangan ini unik dalam cara mengambil sidik jari pengguna dan mendistribusikan muatan yang sensitif terhadap waktu. Serangan tersebut menargetkan pengguna yang mencari Notepad++ dan konverter PDF untuk menayangkan iklan palsu di halaman hasil pencarian Google yang, ketika diklik, menyaring bot dan alamat IP lain yang tidak diinginkan dengan menampilkan situs umpan. Orang yang mengklik iklan tersebut akan dialihkan melalui layanan penyelubungan yang dimaksudkan untuk menyaring kotak pasir, bot, dan siapa pun yang tidak dianggap sebagai korban sebenarnya. Pelaku ancaman telah menyiapkan domain sementara di situs keepasstacking[.]yang melakukan pengalihan bersyarat ke tujuan akhir. Penyalahgunaan Punycode bukanlah hal baru, namun menggabungkannya dengan Google Ads nakal adalah tanda bahwa maliklan melalui mesin pencari semakin canggih.

Payload terakhir mengambil bentuk file ZIP (“WinSCP_v.6.1.zip”) yang dilengkapi dengan setup executable, yang ketika diluncurkan, menggunakan side-loading DLL untuk memuat dan mengeksekusi file DLL bernama python311.dll yang ada di dalamnya arsip. Para peneliti mengatakan bahwa lalu lintas dari situs web gaweeweb[.]com ke situs web winccp[.]net palsu bergantung pada tajuk pengarah yang benar dan disetel dengan benar. Jika perujuknya salah, pengguna tersebut ‘Rickrolled’ dan dikirim ke video YouTube Rick Astley yang terkenal itu. Para peneliti juga mencatat bahwa mengingat fakta bahwa para penyerang memanfaatkan Google Ads untuk menyebarkan malware, dapat diyakini bahwa targetnya terbatas pada siapa saja yang mencari perangkat lunak WinSCP. Pemblokiran geografis yang digunakan pada situs yang menampung malware tersebut menunjukkan bahwa orang-orang di AS adalah korban serangan ini.

Rantai Serangan

Rantai serangan multi-langkah yang kompleks melibatkan beberapa langkah:

  1. Pengguna pertama-tama diarahkan ke situs web yang disusupi.
  2. Mereka kemudian diarahkan ke situs palsu yang menyerupai situs WinSCP yang sah.
  3. Jika tajuk rujukan salah, pengguna akan dialihkan ke video Rick Astley di YouTube dengan taktik yang dikenal sebagai “Rickrolling.”
  4. Muatan terakhir adalah file ZIP yang berisi instalasi yang dapat dieksekusi yang menggunakan pemuatan samping DLL untuk mengeksekusi file DLL berbahaya.

DLL, pada bagiannya, mengunduh dan menjalankan penginstal WinSCP yang sah untuk menjaga tipu muslihat tersebut, sambil diam-diam menjatuhkan skrip Python (“slv.py” dan “wo15.py”) di latar belakang untuk mengaktifkan perilaku jahat. Ini juga bertanggung jawab untuk menyiapkan persistensi.

Kedua skrip Python dirancang untuk menjalin kontak dengan server jarak jauh yang dikendalikan aktor untuk menerima instruksi lebih lanjut yang memungkinkan penyerang menjalankan perintah enumerasi pada host.

“Mengingat fakta bahwa para penyerang memanfaatkan Google Ads untuk menyebarkan malware, dapat diyakini bahwa targetnya terbatas pada siapa saja yang mencari perangkat lunak WinSCP,” kata para peneliti.

“Pemblokiran geografis yang digunakan pada situs yang menampung malware menunjukkan bahwa orang-orang di AS adalah korban serangan ini.”

Malware dan dampaknya

Malware tersebut, yang menyamar sebagai penginstal WinSCP yang sah, secara halus melepaskan skrip Python di latar belakang untuk memicu perilaku jahat dan menjalin kontak dengan server jarak jauh. Hal ini memungkinkan penyerang untuk menjalankan perintah pada host. Malware ini menargetkan siapa saja yang mencari perangkat lunak WinSCP, dengan fokus khusus pada pengguna di Amerika Serikat, seperti yang disarankan oleh pemblokiran geografis yang digunakan pada situs yang menampung malware tersebut.

Tren Malvertising yang semakin meningkat

Insiden ini bukan kali pertama Iklan Penelusuran Dinamis Google disalahgunakan untuk menyebarkan malware. Malwarebytes baru-baru ini melaporkan kampanye serupa yang menargetkan pengguna yang mencari PyCharm. Meningkatnya tren malvertising menimbulkan ancaman yang signifikan, seperti yang terlihat dalam peningkatan kampanye skimming kartu kredit yang menargetkan situs e-commerce baru-baru ini.

Akhir bulan lalu, Malwarebytes membuka kampanye yang menargetkan pengguna yang mencari PyCharm dengan tautan ke situs web yang diretas yang menghosting penginstal jahat yang membuka jalan bagi penyebaran malware pencuri informasi.

Malvertising semakin populer di kalangan penjahat dunia maya dalam beberapa tahun terakhir, dengan banyaknya kampanye malware yang menggunakan taktik serangan dalam beberapa bulan terakhir. Awal pekan ini, Malwarebytes mengungkapkan peningkatan kampanye skimming kartu kredit pada bulan Oktober 2023 yang diperkirakan telah menyusupi ratusan situs web e-niaga dengan tujuan mencuri informasi keuangan dengan memasukkan halaman pembayaran palsu yang meyakinkan.

Seruan untuk tetap waspada.

Kampanye SEO#LURKER menyoroti perlunya kewaspadaan yang lebih besar saat mengunduh perangkat lunak dari internet. Pengguna harus waspada terhadap hasil pencarian dan iklan, meskipun terlihat sah, karena penjahat dunia maya terus menemukan cara inovatif untuk mengeksploitasi platform online untuk tujuan jahat.

Sumber:

https://thehackernews.com/2023/11/beware-malicious-google-ads-trick.html?m=1
https://thehackernews.com/2023/10/malvertisers-using-google-ads-to-target.html?m=1
https://www.securonix.com/blog/seolurker-attack-campaign-uses-seo-poisoning-fake-google-ads-to-install-malware/
https://www.linkedin.com/posts/the-cyber-security-hub_beware-malicious-google-ads-trick-winscp-activity-7131275692649897986-p6w8
https://vulners.com/thn/THN:E4061769722AEB49083D2777C54A9D35
https://www.matricedigitale.it/multilingua/pubblicita-google-malware-seolurker/