Credit image: Freepix
Taktik Baru Malware SocGholish Jebak Pengguna – Dalam dunia kejahatan siber, ada satu nama yang terus muncul dan berevolusi: SocGholish. Malware ini dikenal sebagai “FakeUpdates” karena sering menyamar sebagai pembaruan palsu untuk browser seperti Google Chrome atau Mozilla Firefox.
Peneliti keamanan baru-baru ini menemukan bahwa penjahat di balik SocGholish telah meningkatkan taktik mereka dengan memanfaatkan sistem canggih yang disebut Traffic Distribution Systems (TDSs).
|
Baca juga: Spyware Seluler |
SocGholish dan Cara Kerjanya
SocGholish adalah jenis malware yang beroperasi dengan model Malware-as-a-Service (MaaS). Artinya, penyerang yang berhasil menginfeksi sebuah sistem akan menjual akses awal tersebut kepada kelompok penjahat siber lain, seperti Evil Corp, LockBit, Dridex, dan Raspberry Robin.
Cara kerja penipuan ini dimulai dengan TDSs, sebuah platform yang digunakan oleh penjahat siber untuk memfilter dan mengarahkan lalu lintas internet.
- Penyerang menyusup ke situs web yang sah dengan menyuntikkan kode berbahaya.
- Ketika pengguna mengunjungi situs yang terinfeksi, mereka akan diarahkan ke TDS, seperti Parrot TDS atau Keitaro TDS.
- TDS akan memeriksa profil pengunjung (misalnya, jenis perangkat, lokasi, dan browser) untuk memastikan bahwa korban adalah target yang sah. Jika korban tidak dianggap “sah” (misalnya, bot atau peneliti keamanan), TDS tidak akan mengirimkan malware.
- Setelah diverifikasi, korban akan dialihkan ke halaman yang menampilkan pesan pop-up pembaruan palsu, seolah-olah browser atau software mereka perlu diperbarui.
- Jika korban mengklik pesan tersebut, mereka akan mengunduh dan menjalankan malware SocGholish, yang kemudian memberikan akses awal kepada penyerang.
Senjata Rahasia Penjahat Siber
Penggunaan TDS seperti Keitaro TDS sangat penting dalam operasi ini. TDS ini tidak hanya digunakan untuk mengarahkan pengguna ke penipuan iklan, tetapi juga untuk mengirimkan malware canggih, termasuk ransomware.
Karena Keitaro juga memiliki banyak fungsi yang sah, sangat sulit bagi perusahaan untuk memblokir lalu lintas dari layanan ini tanpa menimbulkan masalah, yang membuat alat ini menjadi senjata yang ideal bagi penjahat siber.
Evolusi Ancaman Lain yang Terkait
Penelitian ini juga menyoroti evolusi ancaman siber lain yang seringkali bekerja sama dengan SocGholish:
- Raspberry Robin: Malware ini juga telah diperbarui dengan metode penyembunyian kode yang lebih baik dan algoritma enkripsi jaringan yang lebih baru, sehingga lebih sulit dideteksi.
- DarkCloud Stealer: Malware ini menggunakan email phishing untuk mencuri kredensial, dengan memanfaatkan teknik penyembunyian (obfuscation) yang canggih untuk menghindari deteksi antivirus.
Melindungi Diri dari Ancaman SocGholish
Mengingat taktik yang semakin canggih ini, kewaspadaan adalah kunci.
- Jangan Percaya Pembaruan Pop-up: Jangan pernah mengunduh pembaruan software dari pop-up yang muncul di situs web. Selalu perbarui software Anda secara manual melalui pengaturan aplikasi atau situs web resmi.
- Aktifkan Pembaruan Otomatis: Aktifkan pembaruan otomatis untuk browser dan sistem operasi Anda agar selalu terlindungi dari kerentanan terbaru.
- Gunakan Fitur Keamanan Browser: Aktifkan fitur keamanan bawaan pada browser Anda, seperti peringatan untuk situs berbahaya.
- Waspada dengan Situs Web yang Mencurigakan: Jika sebuah situs web tiba-tiba meminta Anda mengunduh sesuatu atau menampilkan pop-up aneh, segera tutup halaman tersebut.
Penelitian ini menunjukkan bahwa penjahat siber terus beradaptasi dengan alat-alat baru untuk menembus pertahanan keamanan. Dengan memahami bagaimana mereka beroperasi, kita dapat lebih proaktif dalam melindungi diri dari ancaman yang terus berkembang ini.
Sumber berita:
