Kampanye distribusi malware yang terorganisir dan sangat dinamis telah memanfaatkan ribuan situs web yang diretas untuk mengalihkan pengguna ke halaman web yang menampilkan pembaruan perangkat lunak palsu dalam upaya untuk penginfeksian malware.

Menurut Jerome Segura, peneliti Malwarebytes yang menganalisis beberapa rantai infeksi untuk mengumpulkan skema grander, kampanye ini dimulai empat bulan lalu, pada bulan Desember 2017.

Segura menamakan kampanye “FakeUpdates” karena semua situs berbahaya terkait akan mengalihkan pengguna ke halaman web yang menghosting paket pembaruan untuk berbagai jenis perangkat lunak, biasanya Google Chrome, Mozilla Firefox, Internet Explorer, atau Adobe Flash Player.

Penjahat membajak lalu lintas dari situs yang diretas

Penjahat di balik kampanye ini bergantung pada situs web yang diretas untuk membajak lalu lintas yang sah untuk halaman pembaruan palsu.

Segura mengatakan ia mengamati sebagian besar lalu lintas yang berasal dari situs WordPress, Joomla, dan Squarespace yang diretas, tetapi peneliti Malwarebytes juga mengatakan ia melihat penjahat yang memanfaatkan platform CMS lainnya, juga, biasanya yang menjalankan versi tua yang rentan terhadap serangan.

Cara penjahat membajak lalu lintas dari situs-situs ini adalah dengan menginjeksikan kode JavaScript di dalam file JS yang sudah ada di situs, atau dengan memuat file JS baru.

Peran kode JS berbahaya ini adalah untuk membawa pengguna melalui serangkaian pengalihan otomatis sampai ia mendarat di situs web lain yang diretas di mana penjahat menghosting laman dengan paket pembaruan palsu.

Update palsu mengirimkan trojan perbankan, RAT

Pengguna yang ditipu untuk mengunduh paket pembaruan palsu tidak menerima file EXE, tetapi skrip JS lainnya, biasanya dihosting di tautan Dropbox. Menjalankan skrip JS akan mengunduh dan menginstal payload malware akhir.

Segura mengatakan bahwa selama tesnya, malware yang ia terima adalah trojan perbankan Chthonic, tetapi laporan lain juga menggambarkan kampanye FakeUpdates yang menjatuhkan NetSupport RAT.

File ‘umpan’ terdiri dari skrip dan bukan executable file yang berbahaya, memberikan fleksibilitas kepada penyerang untuk mengembangkan teknik obfuskasi dan fingerprint yang menarik,” kata Segura.

FakeUpdates mungkin akan terus berevolusi dari kampanye sebelumnya

Secara keseluruhan, kampanye pengiriman malware FakeUpdates agak mirip dengan apa yang Error 404 Cyber News dan peneliti keamanan lainnya telah laporkan di masa lalu.

Kampanye FakeUpdates adalah hasil dari lebih banyak lagi penjahat cyber yang melompat pada tren distribusi malware terbaru ini, menyempurnakan teknik yang ada, dan membangun infrastruktur secara besar-besaran seiring berjalannya waktu.


Like it? Share with your friends!

Muhammad Zaky Zulfiqor

I'm a simple person who like code, security enthusiast, share knowledge, always learning new information about technology and cyber security. I'd like to think myself as an J-Pop, J-Rock, Rock, Deathcore, Electronicore, Metalcore, and Metal fan and use my choice of music for positive self-regulatory purposes. In addition, I am also a fan of Anime, Manga, and Light Novel from Japan.

Comments

error: Content is protected !!