Operasi Malvertisasi Google Penelusuran

Operasi Malvertisasi Google Penelusuran

Operasi malvertisasi Google penelusuran belakangan terus mengalami peningkatan serangan, trik ini terus mengalami pengembangan yang signifikan.

Aksi operasi malvertisasi Google Penelusuran baru menargetkan pengguna yang ingin mengunduh editor teks Notepad++ yang populer, menggunakan teknik canggih untuk menghindari deteksi dan analisis.

Maliklan Notepad++

Pelaku kejahatan siber semakin banyak menyalahgunakan Google Ads dalam operasi maliklan untuk mempromosikan situs perangkat lunak palsu yang mendistribusikan malware.

Dan yang mengkhawatirkan, operasi maliklan Notepad++ tersebut telah aktif selama beberapa bulan tetapi berhasil tidak terdeteksi selama ini.

Muatan terakhir yang dikirimkan ke korban tidak diketahui, namun kemungkinan besar adalah Cobalt Strike, yang biasanya masuk dulu sebelum ransomware.

Menyalahgunakan Iklan Google

Malvertisasi Notepad++ mempromosikan URL yang jelas-jelas tidak terkait dengan proyek perangkat lunak namun menggunakan judul menyesatkan yang ditampilkan dalam iklan hasil Google Penelusuran.

Strategi SEO ini banyak disalahgunakan dalam kasus ini, dan karena judul jauh lebih besar dan lebih terlihat dibandingkan URL, banyak orang yang cenderung terjebak.

Mereka yang tertipu oleh operasi malvertisasi Google penelusuran tidak langsung dieksekusi oleh pelaku, namun mereka akan lebih dulu dipilah-pilah.

Cara Kerja Maliklan Notepad++

Setelah korban mengklik salah satu iklan, langkah pengalihan akan memeriksa IP mereka untuk menyaring pengguna yang mungkin adalah crawler, VPN, bot, dan lain-lain yang mengarahkan mereka ke situs umpan yang tidak berbahaya.

Sebaliknya, target yang sah dialihkan ke “notepadxtreme[.]com” yang meniru situs Notepad++ asli, yang menampilkan tautan unduhan untuk berbagai versi editor teks.

Saat pengunjung mengeklik tautan tersebut, pemeriksaan sidik jari sistem kedua dilakukan oleh cuplikan JavaScript untuk memvalidasi bahwa tidak ada anomali atau indikasi bahwa pengunjung menggunakan kotak pasir.

Korban yang ditandai sebagai target yang sesuai kemudian diberikan skrip HTA, yang diberi ID unik, yang memungkinkan pelaku melacak infeksi mereka.

Payload tersebut hanya dilayani satu kali per korban, sehingga kunjungan kedua menghasilkan kesalahan 404.

Pemeriksaan Malwarebytes terhadap HTA tidak menghasilkan informasi berguna apa pun karena HTA tersebut tidak dijadikan senjata pada saat itu,

Namun para analis menemukan file yang sama dalam unggahan VirusTotal dari bulan Juli. File tersebut mencoba untuk terhubung ke domain jarak jauh melalui port khusus,

Dan para peneliti yakin bahwa file tersebut kemungkinan merupakan bagian dari penerapan Cobalt Strike.

Tindak Pencegahan

Untuk menghindari pengunduhan malware saat mencari perangkat lunak tertentu, yang harus dilakukan adalah sebagai berikut:

• Lewati hasil yang dipromosikan di Google Penelusuran

• Periksa kembali apakah Anda telah masuk ke domain resmi.

• Jika tidak yakin tentang situs web proyek yang sebenarnya, periksa halaman “Tentang”, dokumentasi, halaman Wikipedia, dan saluran media sosial resmi.

Sumber berita: