Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Kucing Hitam Pasang Iklan Jebakan
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Kucing Hitam Pasang Iklan Jebakan

3 min read
Kucing Hitam Pasang Iklan Jebakan

Credit Image: Pixabay

Ransomware satu ini memang sangat aktif belakangan di dunia maya, diketahui demi menjebak korbannya kucing hitam pasang iklan jebakan melalui peramban untuk memperdaya korbannya.

Grup ransomware BlackCat menjalankan operasi malvertising untuk memikat orang ke halaman palsu yang meniru situs web resmi aplikasi transfer file WinSCP untuk Windows tetapi malah mendorong penginstal yang ditunggangi malware.

WinSCP (Windows Secure Copy) adalah SFTP, FTP, S3, klien SCP, dan pengelola file sumber terbuka dan gratis yang populer dengan kemampuan transfer file SSH dengan 400.000 unduhan mingguan di SourceForge saja.

BlackCat menggunakan program ini sebagai umpan untuk berpotensi menginfeksi komputer administrator sistem, admin web, dan profesional TI untuk akses awal ke jaringan perusahaan yang berharga.

Vektor infeksi ransomware BlackCat yang sebelumnya tidak diketahui ini ditemukan oleh pata analis yang melihat kampanye iklan yang mempromosikan halaman palsu di halaman pencarian Google dan Bing.

Baca juga: 3 Fase Serangan Ransomware

Dari WinSCP ke CobaltStrike

Serangan BlackCat dimulai dengan korban mencari “Unduhan WinSCP” di Bing atau Google dan mendapatkan hasil berbahaya yang dipromosikan dengan peringkat di atas situs unduhan WinSCP yang aman.

Para korban mengklik iklan tersebut dan mengunjungi situs web yang menyelenggarakan tutorial tentang melakukan transfer file otomatis menggunakan WinSCP.

Situs-situs ini tidak berisi apa pun yang berbahaya, cenderung menghindari deteksi oleh perayap anti-penyalahgunaan Google.

Tetapi mengarahkan pengunjung ke klon situs web resmi WinSCP yang menampilkan tombol unduh. Klon ini menggunakan nama domain yang mirip dengan domain wincp.net asli untuk utilitas, seperti winccp[.]com.

Korban mengklik tombol dan menerima file ISO yang berisi “setup.exe” dan “msi.dll,” yang pertama adalah iming-iming bagi pengguna untuk meluncurkan dan yang kedua adalah dropper malware yang dipicu oleh executable.

“Setelah setup.exe dijalankan, ia akan memanggil msi.dll yang nantinya akan mengekstrak folder Python dari bagian DLL RCDATA sebagai penginstal nyata untuk WinSCP yang akan diinstal pada mesin,” jelas laporan Trend Micro.

Proses ini juga menginstal trojanized python310.dll dan membuat mekanisme persistensi dengan membuat run key bernama “Python” dan nilainya “C:\Users\Public\Music\python\pythonw.exe”.

Pythonw.exe yang dapat dieksekusi memuat python310.dll yang dikaburkan yang dimodifikasi yang berisi suar Cobalt Strike yang terhubung ke alamat server perintah-dan-kontrol.

Baca juga: Initial Access atau Akses Awal

Tool Lain Digunakan BlackCat

Setelah Cobalt Strike berjalan di sistem, mudah untuk mengeksekusi skrip tambahan, mengambil alat untuk pergerakan lateral, dan umumnya memperdalam kompromi.

Analis memperhatikan bahwa operator BlackCat menggunakan alat berikut pada fase berikutnya:

  • AdFind: alat baris perintah yang digunakan untuk mengambil informasi Active Directory (AD).
  • Perintah PowerShell digunakan untuk mengumpulkan data pengguna, mengekstrak file ZIP, dan menjalankan skrip.
  • AccessChk64: alat baris perintah yang digunakan untuk pengintaian izin pengguna dan grup.
  • Findstr: alat baris perintah yang digunakan untuk mencari kata sandi dalam file XML.
  • PowerView: Skrip PowerSploit digunakan dalam pengintaian dan pencacahan AD.
  • Skrip python digunakan untuk menjalankan alat pemulihan kata sandi LaZagne dan mendapatkan kredensial Veeam.
  • PsExec, BitsAdmin, dan Curl, digunakan untuk pergerakan lateral
  • AnyDesk: alat manajemen jarak jauh yang sah disalahgunakan untuk menjaga kegigihan
  • Skrip KillAV BAT digunakan untuk menonaktifkan atau melewati program antivirus dan antimalware.
  • Klien Putty Secure Copy digunakan untuk mengekstraksi informasi yang dikumpulkan dari sistem yang dilanggar.

Baca juga: Permukaan Serangan atau Attack Surface

Terminator

Seiring dengan alat di atas, BlackCat juga menggunakan SpyBoy “Terminator,” sebuah EDR dan penonaktifan antivirus yang dijual oleh pelaku ancaman di forum peretasan berbahasa Rusia seharga $3.000.

Penelitian terbaru mengonfirmasi bahwa “Terminator” mampu melewati beberapa alat keamanan Windows dengan menggunakan mekanisme “Bring Your Own Vulnerable Driver” (BYOVD) untuk meningkatkan hak istimewa pada sistem dan menonaktifkannya.

Setelah menghubungkan TTP di atas dengan infeksi ransomware BlackCat yang dikonfirmasi. Ditemukan juga file ransomware Clop di salah satu domain C2 yang diselidiki, sehingga pelaku mungkin berafiliasi dengan beberapa operasi ransomware.

Demikian pembahasan mengenai ransomware kucing hitam pasang iklan jebakan di peramban, semoga dapat bermanfaat dan menambah wawasan.

 

 

Baca lainnya:

  • Roschach Raja Enkripsi Tercepat
  • Panduan Ransomware Singkat
  • Anatomi Serangan Ransomware
  • Serangan Multi Vektor Ransomware
  • Wajah-wajah Ransomware

 

 

Sumber berita”

 

WeLIveSecurity

 










 

 

 

 

 

 

 

 

Tags: antivirus Andal Antivirus Canggih Antivirus ESET antivirus hebat antivirus jempolan Antivirus Komprehensif antivirus nomor satu Antivirus Nomor Wahid Antivirus Papan Atas Antivirus Populer Antivirus Super Antivirus Super Ringan antivirus superb Antivirus Tangguh Antivirus Terbaik Antivirus Top bahaya botnet condi bahaya botnet mirai iklan jebakan jebakan kucing hitam ransomware blackcat ransomware malvertising

Continue Reading

Previous: Passkey Pengganti Password
Next: Bossware

Related Stories

Manipulasi Psikologis di Balik Serangan Social Engineering Anak Manipulasi Psikologis di Balik Serangan Social Engineering Anak
5 min read
  • Sektor Personal
  • Teknologi

Manipulasi Psikologis di Balik Serangan Social Engineering Anak

June 4, 2025
Hati-hati Eksekutif Keuangan Phising Canggih Menguntit Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
5 min read
  • Teknologi

Hati-hati Eksekutif Keuangan Phising Canggih Menguntit

June 3, 2025
SIM Card Dari Fisik ke Digital dan Risiko di Baliknya SIM Card Dari Fisik ke Digital dan Risiko di Baliknya
4 min read
  • Teknologi

SIM Card Dari Fisik ke Digital dan Risiko di Baliknya

June 3, 2025

Recent Posts

  • Manipulasi Psikologis di Balik Serangan Social Engineering Anak
  • Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
  • SIM Card Dari Fisik ke Digital dan Risiko di Baliknya
  • Penipuan DocuSign Jangan Sampai Data Anda Dicuri
  • Membongkar Rahasia Cara Kerja VPN
  • Mengelola dan Melindungi Jejak Digital
  • Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
  • Mencegah Bisnis menjadi Korban Serangan Phising
  • Dari ClickFix ke Video TikTok Palsu
  • Riset ESET: Asia Dominasi Serangan Siber

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Manipulasi Psikologis di Balik Serangan Social Engineering Anak Manipulasi Psikologis di Balik Serangan Social Engineering Anak
5 min read
  • Sektor Personal
  • Teknologi

Manipulasi Psikologis di Balik Serangan Social Engineering Anak

June 4, 2025
Hati-hati Eksekutif Keuangan Phising Canggih Menguntit Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
5 min read
  • Teknologi

Hati-hati Eksekutif Keuangan Phising Canggih Menguntit

June 3, 2025
SIM Card Dari Fisik ke Digital dan Risiko di Baliknya SIM Card Dari Fisik ke Digital dan Risiko di Baliknya
4 min read
  • Teknologi

SIM Card Dari Fisik ke Digital dan Risiko di Baliknya

June 3, 2025
Penipuan DocuSign Jangan Sampai Data Anda Dicuri Penipuan DocuSign Jangan Sampai Data Anda Dicuri
5 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Penipuan DocuSign Jangan Sampai Data Anda Dicuri

June 2, 2025

Copyright © All rights reserved. | DarkNews by AF themes.