Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Kucing Hitam Pasang Iklan Jebakan
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Kucing Hitam Pasang Iklan Jebakan

3 min read
Kucing Hitam Pasang Iklan Jebakan

Credit Image: Pixabay

Ransomware satu ini memang sangat aktif belakangan di dunia maya, diketahui demi menjebak korbannya kucing hitam pasang iklan jebakan melalui peramban untuk memperdaya korbannya.

Grup ransomware BlackCat menjalankan operasi malvertising untuk memikat orang ke halaman palsu yang meniru situs web resmi aplikasi transfer file WinSCP untuk Windows tetapi malah mendorong penginstal yang ditunggangi malware.

WinSCP (Windows Secure Copy) adalah SFTP, FTP, S3, klien SCP, dan pengelola file sumber terbuka dan gratis yang populer dengan kemampuan transfer file SSH dengan 400.000 unduhan mingguan di SourceForge saja.

BlackCat menggunakan program ini sebagai umpan untuk berpotensi menginfeksi komputer administrator sistem, admin web, dan profesional TI untuk akses awal ke jaringan perusahaan yang berharga.

Vektor infeksi ransomware BlackCat yang sebelumnya tidak diketahui ini ditemukan oleh pata analis yang melihat kampanye iklan yang mempromosikan halaman palsu di halaman pencarian Google dan Bing.

Baca juga: 3 Fase Serangan Ransomware

Dari WinSCP ke CobaltStrike

Serangan BlackCat dimulai dengan korban mencari “Unduhan WinSCP” di Bing atau Google dan mendapatkan hasil berbahaya yang dipromosikan dengan peringkat di atas situs unduhan WinSCP yang aman.

Para korban mengklik iklan tersebut dan mengunjungi situs web yang menyelenggarakan tutorial tentang melakukan transfer file otomatis menggunakan WinSCP.

Situs-situs ini tidak berisi apa pun yang berbahaya, cenderung menghindari deteksi oleh perayap anti-penyalahgunaan Google.

Tetapi mengarahkan pengunjung ke klon situs web resmi WinSCP yang menampilkan tombol unduh. Klon ini menggunakan nama domain yang mirip dengan domain wincp.net asli untuk utilitas, seperti winccp[.]com.

Korban mengklik tombol dan menerima file ISO yang berisi “setup.exe” dan “msi.dll,” yang pertama adalah iming-iming bagi pengguna untuk meluncurkan dan yang kedua adalah dropper malware yang dipicu oleh executable.

“Setelah setup.exe dijalankan, ia akan memanggil msi.dll yang nantinya akan mengekstrak folder Python dari bagian DLL RCDATA sebagai penginstal nyata untuk WinSCP yang akan diinstal pada mesin,” jelas laporan Trend Micro.

Proses ini juga menginstal trojanized python310.dll dan membuat mekanisme persistensi dengan membuat run key bernama “Python” dan nilainya “C:\Users\Public\Music\python\pythonw.exe”.

Pythonw.exe yang dapat dieksekusi memuat python310.dll yang dikaburkan yang dimodifikasi yang berisi suar Cobalt Strike yang terhubung ke alamat server perintah-dan-kontrol.

Baca juga: Initial Access atau Akses Awal

Tool Lain Digunakan BlackCat

Setelah Cobalt Strike berjalan di sistem, mudah untuk mengeksekusi skrip tambahan, mengambil alat untuk pergerakan lateral, dan umumnya memperdalam kompromi.

Analis memperhatikan bahwa operator BlackCat menggunakan alat berikut pada fase berikutnya:

  • AdFind: alat baris perintah yang digunakan untuk mengambil informasi Active Directory (AD).
  • Perintah PowerShell digunakan untuk mengumpulkan data pengguna, mengekstrak file ZIP, dan menjalankan skrip.
  • AccessChk64: alat baris perintah yang digunakan untuk pengintaian izin pengguna dan grup.
  • Findstr: alat baris perintah yang digunakan untuk mencari kata sandi dalam file XML.
  • PowerView: Skrip PowerSploit digunakan dalam pengintaian dan pencacahan AD.
  • Skrip python digunakan untuk menjalankan alat pemulihan kata sandi LaZagne dan mendapatkan kredensial Veeam.
  • PsExec, BitsAdmin, dan Curl, digunakan untuk pergerakan lateral
  • AnyDesk: alat manajemen jarak jauh yang sah disalahgunakan untuk menjaga kegigihan
  • Skrip KillAV BAT digunakan untuk menonaktifkan atau melewati program antivirus dan antimalware.
  • Klien Putty Secure Copy digunakan untuk mengekstraksi informasi yang dikumpulkan dari sistem yang dilanggar.

Baca juga: Permukaan Serangan atau Attack Surface

Terminator

Seiring dengan alat di atas, BlackCat juga menggunakan SpyBoy “Terminator,” sebuah EDR dan penonaktifan antivirus yang dijual oleh pelaku ancaman di forum peretasan berbahasa Rusia seharga $3.000.

Penelitian terbaru mengonfirmasi bahwa “Terminator” mampu melewati beberapa alat keamanan Windows dengan menggunakan mekanisme “Bring Your Own Vulnerable Driver” (BYOVD) untuk meningkatkan hak istimewa pada sistem dan menonaktifkannya.

Setelah menghubungkan TTP di atas dengan infeksi ransomware BlackCat yang dikonfirmasi. Ditemukan juga file ransomware Clop di salah satu domain C2 yang diselidiki, sehingga pelaku mungkin berafiliasi dengan beberapa operasi ransomware.

Demikian pembahasan mengenai ransomware kucing hitam pasang iklan jebakan di peramban, semoga dapat bermanfaat dan menambah wawasan.

 

 

Baca lainnya:

  • Roschach Raja Enkripsi Tercepat
  • Panduan Ransomware Singkat
  • Anatomi Serangan Ransomware
  • Serangan Multi Vektor Ransomware
  • Wajah-wajah Ransomware

 

 

Sumber berita”

 

WeLIveSecurity

 










 

 

 

 

 

 

 

 

Tags: antivirus Andal Antivirus Canggih Antivirus ESET antivirus hebat antivirus jempolan Antivirus Komprehensif antivirus nomor satu Antivirus Nomor Wahid Antivirus Papan Atas Antivirus Populer Antivirus Super Antivirus Super Ringan antivirus superb Antivirus Tangguh Antivirus Terbaik Antivirus Top bahaya botnet condi bahaya botnet mirai iklan jebakan jebakan kucing hitam ransomware blackcat ransomware malvertising

Continue Reading

Previous: Passkey Pengganti Password
Next: Bossware

Related Stories

Mode Incoqnito Fungsi dan Batasan Mode Incoqnito Fungsi dan Batasan
5 min read
  • Teknologi

Mode Incoqnito Fungsi dan Batasan

June 24, 2025
XSS Ancaman Tersembunyi di Webmail XSS Ancaman Tersembunyi di Webmail
4 min read
  • Sektor Bisnis
  • Sektor Personal

XSS Ancaman Tersembunyi di Webmail

June 24, 2025
Ratusan Malware di Github Incar Gamer dan Developer Ratusan Malware di Github Incar Gamer dan Developer
4 min read
  • Sektor Bisnis
  • Sektor Personal

Ratusan Malware di Github Incar Gamer dan Developer

June 24, 2025

Recent Posts

  • Mode Incoqnito Fungsi dan Batasan
  • XSS Ancaman Tersembunyi di Webmail
  • Ratusan Malware di Github Incar Gamer dan Developer
  • Reinkarnasi Godfather Bikin Kacau Android
  • Ketika AI Memudahkan Penipuan Daring
  • Ancaman Masif ChainLink
  • Stargazer Curi Password Gamer dengan Mod Minecraft Palsu
  • Tambahkan Fitur Mematikan Ransomware Anubis Kini Lebih Kejam
  • Membatasi Kerugian Ketika Perangkat Hilang atau Dicuri
  • Cara Melindungi Backup Anda dari Serangan

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Mode Incoqnito Fungsi dan Batasan Mode Incoqnito Fungsi dan Batasan
5 min read
  • Teknologi

Mode Incoqnito Fungsi dan Batasan

June 24, 2025
XSS Ancaman Tersembunyi di Webmail XSS Ancaman Tersembunyi di Webmail
4 min read
  • Sektor Bisnis
  • Sektor Personal

XSS Ancaman Tersembunyi di Webmail

June 24, 2025
Ratusan Malware di Github Incar Gamer dan Developer Ratusan Malware di Github Incar Gamer dan Developer
4 min read
  • Sektor Bisnis
  • Sektor Personal

Ratusan Malware di Github Incar Gamer dan Developer

June 24, 2025
Reinkarnasi Godfather Bikin Kacau Android Reinkarnasi Godfather Bikin Kacau Android
3 min read
  • Mobile Security

Reinkarnasi Godfather Bikin Kacau Android

June 23, 2025

Copyright © All rights reserved. | DarkNews by AF themes.