Credit image: Freepix
Installer Palsu Microsoft Teams Sebar Malware Berbahaya – Dalam dunia digital yang makin terhubung, kemudahan mencari perangkat lunak di mesin pencari ternyata menyimpan bahaya tersembunyi.
Baru-baru ini, para peretas terdeteksi menggunakan taktik canggih yaitu SEO Poisoning dan Malvertising untuk mempromosikan installer Microsoft Teams palsu yang menginfeksi perangkat Windows dengan malware jenis Backdoor bernama Oyster.
Serangan ini berisiko tinggi, terutama karena menargetkan administrator IT (IT Admin) yang memiliki akses istimewa (high privileges) ke jaringan korporat. Jika berhasil, peretas bisa mendapatkan akses awal ke seluruh jaringan perusahaan.
|
Baca juga: Malware Loader Canggih yang Memanfaatkan Taktik Phising |
Apa Itu Oyster Backdoor?
Malware Oyster (juga dikenal sebagai Broomstick dan CleanUpLoader) adalah program jahat jenis backdoor yang pertama kali muncul pada pertengahan tahun 2023.
Cara Kerja Backdoor
Bayangkan rumah Anda memiliki pintu depan yang terkunci rapat (sistem keamanan normal). Backdoor adalah pintu rahasia yang sengaja dipasang tanpa sepengetahuan Anda.
Oyster Backdoor memberikan akses jarak jauh penuh kepada penyerang ke perangkat yang terinfeksi. Setelah masuk, penjahat siber dapat:
- Menjalankan perintah apa pun dari jarak jauh di komputer korban.
- Menyebarkan malware lain yang lebih merusak, seperti program pencuri informasi atau bahkan Ransomware (seperti yang pernah dilakukan oleh operasi ransomware Rhysida).
- Mengunduh file sensitif dari komputer Anda atau mengunggah malware baru.
Memanfaatkan Kepercayaan Publik
Penyerang sangat cerdik dalam menyamarkan malware mereka agar tampak seperti perangkat lunak tepercaya. Oyster umumnya disebarkan melalui kampanye Malvertising yang meniru alat IT populer, seperti PuTTY dan WinSCP.
Berikut adalah dua taktik utama yang mereka gunakan dalam kasus installer Teams palsu:
1. SEO Poisoning (Peracunan SEO)</p>
Search Engine Optimization atau SEO adalah praktik yang digunakan situs web agar muncul di posisi teratas hasil pencarian Google atau Bing.
SEO Poisoning adalah praktik curang di mana peretas memanipulasi algoritma mesin pencari untuk memastikan situs web berbahaya mereka muncul di posisi paling atas, sering kali sebagai tautan pertama yang dilihat pengguna.
Dalam kampanye ini, ketika pengguna mencari kata kunci spesifik seperti “Teams download” di mesin pencari, hasil yang muncul (baik sebagai iklan maupun tautan organik) adalah situs palsu, meskipun tidak meniru domain resmi Microsoft.
|
Baca juga: Malware Ini Cacing Raksasa di Film Dune |
2. Malvertising (Iklan Berbahaya)
Malvertising adalah penggunaan iklan online (yang sering muncul di bagian atas hasil pencarian) untuk menyebarkan malware. Iklan ini tampak resmi, tetapi mengarahkan korban ke situs web jahat.
Situs web palsu ini (misalnya teams-install[.]top) dibuat meniru tampilan situs unduhan Teams resmi Microsoft. Ketika pengguna mengklik tautan unduhan, mereka akan mengunduh file bernama MSTeamsSetup.exe, nama file yang sama persis dengan installer Teams yang asli.
Menyuntikkan Backdoor dengan Trik Perizinan
Untuk memberikan kesan otentik, file MSTeamsSetup.exe palsu ini bahkan telah ditandatangani secara digital (code-signed) menggunakan sertifikat palsu dari perusahaan seperti “4th State Oy” atau “NRM NETWORK RISK MANAGEMENT INC”.
Namun, saat dieksekusi, alih-alih menginstal Teams, installer palsu ini menjatuhkan (drop) sebuah file DLL berbahaya bernama CaptureService.dll ke dalam folder %APPDATA%\Roaming.
Untuk memastikan backdoor tetap aktif bahkan setelah komputer dihidupkan ulang, installer palsu ini juga membuat tugas terjadwal (scheduled task) bernama “CaptureService” untuk menjalankan DLL tersebut secara berkala (misalnya, setiap 11 menit).
Jangan Percayai Iklan dan Tautan di Pencarian
Aktivitas ini menyoroti bahwa SEO Poisoning dan Malvertising tetap menjadi taktik populer bagi peretas untuk menembus jaringan korporat dan pribadi. Mereka mengeksploitasi kepercayaan pengguna terhadap hasil pencarian dan merek terkenal.
Berikut adalah saran penting untuk melindungi perangkat Anda, terutama jika Anda bekerja di bidang IT atau sering mengunduh perangkat lunak:
- Selalu Unduh dari Domain Terverifikasi: Jangan pernah mengklik iklan untuk mengunduh perangkat lunak. Ketik alamat situs web resmi perusahaan secara langsung di bilah alamat browser Anda (misalnya: microsoft.com, bukan mencari “download microsoft” lalu mengklik iklan teratas).
- Periksa URL dengan Teliti: Sebelum mengklik tautan mana pun, perhatikan domain (alamat situs) yang ditampilkan di hasil pencarian. Perhatikan ejaan yang salah (typosquatting) atau domain yang tampak aneh (misalnya, alih-alih microsoft.com, domainnya adalah microsoft-download.top).
- Gunakan Anti-Malware: Pastikan perangkat lunak keamanan (antivirus/anti-malware) Anda selalu aktif dan diperbarui secara otomatis. Ini membantu mendeteksi file berbahaya seperti CaptureService.dll sebelum sempat membuat backdoor.
- Tingkatkan Kewaspadaan untuk Admin IT: Karena Admin IT adalah target utama untuk mendapatkan kredensial dengan hak akses tinggi, mereka harus menerapkan aturan yang sangat ketat untuk mengunduh perangkat lunak dan tidak boleh mengklik iklan mesin pencari.
Dengan selalu mengedepankan prinsip verifikasi dan menghindari jalan pintas dari hasil pencarian yang mencurigakan, Anda dapat secara signifikan mengurangi risiko menjadi korban dari backdoor dan serangan pencurian data yang canggih ini.
Sumber berita:
