Iklan Berbayar Jadi Alat Malvertising Canggih

Para peneliti keamanan siber telah mengungkap detail operasi malware canggih baru yang memanfaatkan iklan berbayar di mesin pencari seperti Google.

Yang bertujuan untuk menyebarkan malware kepada pengguna yang tidak menaruh curiga, terutama mereka yang mencari perangkat lunak populer seperti GitHub Desktop.

Meskipun operasi malvertising telah menjadi hal biasa, aktivitas terbaru ini memiliki sentuhan unik: menyematkan komit GitHub ke dalam URL halaman yang berisi tautan yang diubah, mengarah ke infrastruktur yang dikendalikan oleh penyerang.

Menurut laporan terbaru, bahkan ketika sebuah tautan tampaknya mengarah ke platform terpercaya seperti GitHub, URL yang mendasarinya dapat dimanipulasi untuk mengarah ke situs palsu.

Sejak setidaknya Desember 2024, operasi ini secara eksklusif menargetkan perusahaan IT dan pengembangan perangkat lunak di Eropa Barat. Tautan dalam komit GitHub palsu dirancang untuk mengarahkan pengguna ke unduhan berbahaya yang di-hosting di domain tiruan (“gitpage[.]app”).

Teknik Penghindaran Deteksi yang Inovatif

Malware tahap pertama yang disebarkan melalui hasil pencarian yang diracuni adalah berkas Microsoft Software Installer (MSI) berukuran 128 MB yang membengkak.

Karena ukurannya yang besar, berkas ini berhasil menghindari sebagian besar sandbox keamanan daring yang ada.

Selain itu, rutinitas dekripsi yang dilindungi oleh unit pemrosesan grafis (GPU) menjaga muatan tetap terenkripsi pada sistem tanpa GPU sungguhan, sebuah teknik yang dinamai GPUGate.

Peneliti menjelaskan bahwa sistem tanpa driver GPU yang tepat kemungkinan adalah mesin virtual (VM), sandbox, atau lingkungan analisis lama yang umum digunakan oleh peneliti keamanan.

Eksekutor malware ini menggunakan fungsi GPU untuk menghasilkan kunci enkripsi guna mendekripsi muatan, dan ia memeriksa nama perangkat GPU saat melakukannya.

Serangan ini kemudian akan mengeksekusi skrip Visual Basic yang meluncurkan skrip PowerShell. Skrip ini akan berjalan dengan hak istimewa administrator, menambahkan pengecualian Microsoft Defender, menyiapkan tugas terjadwal untuk persistensi, dan akhirnya menjalankan berkas yang dapat dieksekusi yang diekstrak dari arsip ZIP yang diunduh.

Tujuan akhirnya adalah memfasilitasi pencurian informasi dan menyebarkan muatan sekunder, sambil secara bersamaan menghindari deteksi.

Para peneliti menilai bahwa aktor ancaman di balik operasi ini memiliki kemampuan bahasa Rusia asli, mengingat adanya komentar berbahasa Rusia dalam skrip PowerShell.

Ancaman Lintas Platform dan Taktik Serupa Lainnya

Analisis lebih lanjut terhadap domain aktor ancaman mengungkapkan bahwa domain tersebut bertindak sebagai tempat untuk menyebarkan Atomic macOS Stealer (AMOS), menunjukkan pendekatan lintas platform.

Dengan mengeksploitasi struktur komit GitHub dan memanfaatkan Google Ads, aktor ancaman dapat secara meyakinkan meniru repositori perangkat lunak yang sah dan mengarahkan pengguna ke muatan berbahaya melewati pengawasan pengguna dan pertahanan endpoint.

Pengungkapan ini datang setelah peneliti merinci evolusi trojanized operasi ConnectWise ScreenConnect yang menggunakan perangkat lunak akses jarak jauh untuk menjatuhkan AsyncRAT, PureHVNC RAT, dan trojan akses jarak jauh (RAT) berbasis PowerShell kustom pada host yang terinfeksi dalam serangan social engineering.

Serangan-serangan ini menunjukkan bagaimana para penyerang kini menggunakan penginstal ClickOnce runner untuk ScreenConnect, yang tidak memiliki konfigurasi yang tertanam dan sebaliknya mengambil komponen saat berjalan.

Evolusi ini membuat metode deteksi statis tradisional menjadi kurang efektif dan mempersulit pencegahan, meninggalkan para pembela dengan sedikit pilihan yang andal.

Baca artikel lainnya: