Credit image: Pixabay
Ancaman baru berupa installer berbahaya incar Asia Tenggara dan Timur. Peneliti ESET mengidentifikasinya melalui operasi malware yang mengincar orang-orang berbahasa Mandarin.
Malware ini menggunakan trik dengan membeli iklan yang menyesatkan untuk muncul di hasil pencarian Google yang mengarah pada pengunduhan pemasang trojan.
Pelaku tak dikenal ini membuat situs web palsu yang terlihat identik dengan aplikasi populer seperti Firefox, WhatsApp, atau Telegram.
Tetapi selain menyediakan perangkat lunak yang sah, juga mengirimkan FatalRAT, trojan akses jarak jauh yang memberikan peretas kendali atas komputer korban.
Baca juga: Ancaman Terbesar Seluler Ancaman Aplikasi
Situs Web Palsu
Pelaku mendaftarkan berbagai nama domain yang semuanya mengarah ke alamat IP yang sama: server yang menghosting beberapa situs web yang mengunduh perangkat lunak trojan.
Beberapa situs web ini terlihat identik dengan rekan mereka yang sah tetapi malah mengirimkan penginstal berbahaya.
Situs web lain, yang mungkin diterjemahkan oleh pelaku, menawarkan perangkat lunak versi bahasa China yang tidak tersedia di China, seperti Telegram.
ESET berdasarkan pengamatan terhadap situs web berbahaya dan penginstal untuk aplikasi ini, mengurutkan aplikasi popular sebagai berikut:
- Chrome
- Firefox
- Telegram
- Line
- Signal
- Skype
- Dompet Bitcoin Elektrum
- Metode Sogou Pinyin, editor metode masukan Pinyin Cina
- Youdao, aplikasi kamus dan terjemahan
- WPS Office, suite kantor gratis
Terlepas dari electrumx[.]org, sebuah situs web palsu dalam bahasa Inggris untuk dompet Electrum Bitcoin, semua situs web lainnya menggunakan bahasa China, menunjukkan bahwa pelaku sebagian besar menargetkan penutur bahasa China.
Meskipun secara teori ada banyak cara yang memungkinkan calon korban dapat diarahkan ke situs web palsu ini, sebuah situs berita melaporkan (versi bahasa Inggris di sini) bahwa mereka diperlihatkan iklan yang mengarah ke salah satu situs web jahat ini saat mencari browser Firefox di Google.
ESET yakin bahwa iklan hanya ditayangkan kepada pengguna di wilayah yang ditargetkan. ESET melaporkan situs web tersebut ke Google dan iklannya dihapus.
Mengingat fakta bahwa banyak nama domain yang didaftarkan pelaku untuk situs web mereka sangat mirip dengan domain yang sah.
Ada kemungkinan pelaku juga mengandalkan kesalahan ketik untuk menarik calon korban ke situs web mereka. Beberapa contohnya adalah:
- telegraem[.]org (palsu) vs. telegram.org (sah)
- electrumx[.]org vs. electrum.org
- youedao[.]com vs. youdao.com.
Baca juga: Eksploitasi Aplikasi berkirim Pesan
Versi Sebelumnya
ESET menemukan versi sebelumnya dari penginstal berbahaya yang telah digunakan pelaku setidaknya sejak Mei 2022. Tidak seperti penginstal yang dijelaskan sebelumnya.
Versi ini berisi muatan terenkripsi XOR, dibagi menjadi tiga file: Micr.flv, Micr2.flv, dan Micr3.flv, setiap file dienkripsi dengan kunci XOR byte tunggal yang berbeda.
Setelah didekripsi, konten dari ketiga file digabungkan, membentuk kode shell yang menghubungi server C&C untuk mengunduh dan menjalankan kode shell lebih lanjut.
DLL pemuat dalam hal ini bernama dr.dll, nama yang sama yang digunakan untuk mekanisme pembaruan di versi penginstal yang lebih baru, dimuat di samping oleh file yang dapat dieksekusi yang sama dan sah.
Mengingat versi yang lebih lama ini tampaknya tidak memiliki pembaru, ESET yakin pelaku telah menggantinya dengan penginstal versi baru sejak Agustus 2022.
Pengguna Twitter Jirehlov Solace melaporkan versi lain dari penginstal mulai Mei 2022, seperti yang dapat dilihat di utas ini.
Meskipun beberapa penginstal tersebut sama dengan yang ada di laporan ini, tampaknya sebagian besar penginstal tersebut berbeda, dikompilasi sebagai file EXE (bukan penginstal MSI) dan menggunakan berbagai paket perangkat lunak. Sampel tersebut mungkin terkait dengan Operasi Nafas Naga seperti yang dijelaskan oleh Qi An Xin pada Mei 2022.
Baca juga: Kerentanan Bajak WhatsApp dan Aplikasi Perpesanan Android Lain
Kesimpulan
Pelaku telah berusaha keras terkait nama domain yang digunakan untuk situs web mereka, berusaha semirip mungkin dengan nama resmi. Situs web palsu, dalam banyak kasus, merupakan salinan identik dari situs yang sah.
Adapun penginstal trojan, mereka menginstal aplikasi sebenarnya yang diminati pengguna, menghindari kecurigaan kemungkinan kompromi pada mesin korban. Untuk semua alasan ini, ESET melihat betapa pentingnya untuk rajin memeriksa URL yang dikunjungi sebelum mengunduh perangkat lunak. Lebih baik lagi, ketikkan ke bilah alamat browser Anda setelah memeriksa bahwa itu adalah situs vendor yang sebenarnya.
Karena malware yang digunakan adalah kampanye ini, FatalRAT, berisi berbagai perintah yang digunakan untuk memanipulasi data dari berbagai browser, dan viktimologi tidak berfokus pada jenis pengguna tertentu, siapa pun dapat terpengaruh.
Ada kemungkinan bahwa pelaku hanya tertarik pada pencurian informasi seperti kredensial web untuk menjualnya di forum bawah tanah atau menggunakannya untuk jenis operasi crimeware lainnya.
Demikian informasi mengenai installer berbahaya incar Asia Tenggara yang belakangan menjadi masalah baru di asia, semoga bermanfaat bagi pengguna internet.
|
Baca lainnya: |
Sumber berita:
