Operasi Malvertising Baru

Dalam operasi malvertising baru, Google telah menjadi korban platform iklannya sendiri, yang memungkinkan pelaku kejahatan siber membuat iklan Google Authenticator palsu yang menyebarkan malware pencuri informasi DeerStealer.

Selama bertahun-tahun, operasi iklan berbahaya (malvertising) telah menargetkan platform pencarian Google, tempat pelaku kejahatan siber memasang iklan untuk meniru situs perangkat lunak terkenal yang memasang malware di perangkat pengunjung.

Lebih buruk lagi, pelaku kejahatan siber dapat membuat iklan pencarian Google yang menampilkan domain yang sah, yang menambah rasa percaya pada iklan tersebut.

Baru juga: Permukaan Serangan atau Attack Surface

Operasi Malvertising Baru

Dalam operasi malvertising baru yang ditemukan peneliti keamanan, pelaku kejahatan siber membuat iklan yang menampilkan iklan Google Authenticator saat pengguna mencari perangkat lunak tersebut di pencarian Google.

Yang membuat iklan tersebut lebih meyakinkan adalah iklan tersebut menampilkan ‘google.com’ dan “https://www.google.com” sebagai URL klik, yang jelas tidak boleh diizinkan saat pihak ketiga membuat iklan tersebut.

Peneliti telah melihat strategi penyamaran URL yang sangat efektif ini dalam operasi malvertising sebelumnya.

Seperti untuk KeePass, Arc browser, YouTube, dan Amazon. Namun, Google terus gagal mendeteksi saat iklan palsu ini dibuat.

Peneliti mencatat bahwa identitas pengiklan diverifikasi oleh Google, yang menunjukkan kelemahan lain dalam platform iklan yang disalahgunakan oleh pelaku ancaman.

Ketika dihubungi tentang operasi malvertising ini, Google memberi tahu bahwa mereka memblokir pengiklan palsu yang dilaporkan oleh peneliti sebelumnya.

Ketika ditanya bagaimana pelaku ancaman dapat menghapus iklan yang meniru perusahaan yang sah,

Google mengatakan bahwa pelaku ancaman menghindari deteksi dengan membuat ribuan akun secara bersamaan dan menggunakan manipulasi teks dan penyamaran

Tujuannya untuk menunjukkan kepada pengulas dan sistem otomatis situs web yang berbeda dari yang akan dilihat pengunjung biasa.

Namun, perusahaan meningkatkan skala sistem otomatis dan pengulas manusia untuk membantu mendeteksi dan menghapus operasi jahat ini.

Upaya ini memungkinkan mereka menghapus 3,4 miliar iklan, membatasi lebih dari 5,7 miliar iklan, dan menangguhkan lebih dari 5,6 juta akun pengiklan pada tahun 2023.

Baru juga: Pola Serangan Umum Email

Situs Google Authenticator Palsu

Mengklik iklan Google Authenticator palsu akan membawa pengunjung melalui serangkaian pengalihan ke halaman arahan di “chromeweb-authenticators.com,” yang meniru portal Google asli.

Peneliti juga mengamati operasi ini, membagikan halaman arahan tambahan dari operasi ini di X. Ini termasuk domain dengan nama yang mirip, seperti:

  • authenticcator-descktop[.]com.
  • chromstore-authentificator[.]com.
  • authentificator-gogle[.]com.

Mengklik tombol ‘Unduh Authenticator’ di situs palsu memicu pengunduhan file yang dapat dieksekusi yang ditandatangani bernama “Authenticator.exe” [VirusTotal] yang dihosting di GitHub.

Repositori GitHub yang menyimpan malware tersebut diberi nama ‘authgg’ dan pemilik repo tersebut diberi nama ‘authe-gogle,’ keduanya mirip dengan nama yang dikaitkan dengan tema operasi.

Sampel yang diunduh ditandatangani oleh ‘Songyuan Meiying Electronic Products Co., Ltd.’ satu hari sebelum pengunduhan, tetapi peneliti sebelumnya mendapatkan payload yang ditandatangani oleh ‘Reedcode Ltd.’

Tanda tangan yang valid memberikan kredibilitas pada file di Windows, yang berpotensi melewati solusi keamanan dan memungkinkannya berjalan di perangkat korban tanpa peringatan.

Saat pengunduhan dijalankan, malware pencuri informasi DeerStealer akan diluncurkan, yang mencuri kredensial, cookie, dan informasi lain yang tersimpan di peramban web Anda.

Pengguna yang ingin mengunduh perangkat lunak disarankan untuk:

  • Tidak mengeklik hasil yang dipromosikan di Google Search.
  • Menggunakan pemblokir iklan.
  • Menandai URL proyek perangkat lunak yang biasanya mereka gunakan.
  • Sebelum mengunduh file, pastikan URL yang Anda gunakan sesuai dengan domain resmi proyek.
  • Selain itu, selalu pindai berkas yang diunduh dengan alat AV terkini sebelum mengeksekusinya.

Demikian pembahasan mengenai operasi malvertising baru, semoga informasi tersebut dapat bermanfaat dan menambah wawasan pembacanya.

 

 

Baru juga: 

 

 

Sumber berita:

 

Prosperita IT News