Malware pencurian kata sandi dan keylogging ini disebarkan melalui unduhan perangkat lunak palsu
Security

Malware pencurian kata sandi dan keylogging ini disebarkan melalui unduhan perangkat lunak palsu

Penjahat dunia maya menggunakan iklan online untuk versi palsu dari perangkat lunak populer untuk mengelabui pengguna agar mengunduh tiga bentuk malware – termasuk ekstensi browser berbahaya dengan kemampuan yang sama dengan malware trojan – yang memberikan nama pengguna dan kata sandi kepada penyerang, serta akses jarak jauh pintu belakang ke PC Windows yang terinfeksi.

Serangan tersebut, yang mendistribusikan dua bentuk malware yang dikembangkan secara khusus yang tampaknya tidak terdokumentasi, telah dirinci oleh peneliti keamanan siber di Cisco Talos yang menamakan kampanye tersebut ‘magnat’. Tampaknya kampanye telah beroperasi dalam beberapa kapasitas sejak 2018 dan malware terus berkembang.

Lebih dari separuh korban berada di Kanada, tetapi ada juga korban di seluruh dunia, termasuk di Amerika Serikat, Eropa, Australia, dan Nigeria.

LIHAT: Strategi kemenangan untuk keamanan siber (laporan khusus ZDNet)

Para peneliti percaya bahwa korban ditipu untuk mengunduh malware melalui malvertising – iklan online berbahaya – yang menipu mereka agar mengunduh penginstal palsu dari perangkat lunak populer ke sistem mereka. Pengguna cenderung mencari versi perangkat lunak yang sah, tetapi diarahkan ke versi berbahaya melalui iklan.

Beberapa perangkat lunak yang ditipu pengguna untuk mengunduh termasuk versi palsu dari aplikasi perpesanan seperti Viber dan WeChat, serta penginstal palsu untuk video game populer seperti Battlefield.

Pemasang tidak menginstal perangkat lunak yang diiklankan, tetapi menginstal tiga bentuk malware – pencuri kata sandi, pintu belakang, dan ekstensi browser berbahaya, yang memungkinkan keylogging dan mengambil tangkapan layar dari apa yang dilihat oleh pengguna yang terinfeksi.

Pencuri kata sandi yang didistribusikan dalam serangan dikenal sebagai Redline, malware yang relatif umum yang mencuri semua nama pengguna dan kata sandi yang ditemukannya di sistem yang terinfeksi. Magnat sebelumnya mendistribusikan pencuri kata sandi yang berbeda, Azorult. Peralihan ke Redline kemungkinan terjadi karena Azorult, seperti banyak bentuk malware lainnya, berhenti berfungsi dengan benar setelah rilis Chrome 80 pada Februari 2020.

Sementara pencuri kata sandi keduanya adalah malware yang dijual bebas, penginstal pintu belakang yang sebelumnya tidak berdokumen – yang oleh peneliti disebut MagnatBackdoor – tampaknya merupakan bentuk malware yang lebih dipesan lebih dahulu yang telah didistribusikan sejak 2019, meskipun ada kalanya distribusi telah berhenti selama berbulan-bulan.

MagnatBackdoor mengonfigurasi sistem Windows yang terinfeksi untuk mengaktifkan akses protokol desktop jarak jauh (RDP) tersembunyi, serta menambahkan pengguna baru dan menjadwalkan sistem untuk melakukan ping ke server perintah dan kontrol yang dijalankan oleh penyerang secara berkala. Pintu belakang memungkinkan penyerang untuk diam-diam mendapatkan akses jarak jauh ke PC saat diperlukan.

Payload ketiga adalah pengunduh untuk ekstensi Google Chrome berbahaya, yang peneliti beri nama MagnatExtension. Ekstensi dikirimkan oleh penyerang dan tidak berasal dari Toko Ekstensi Chrome.

LIHAT: Peretas beralih ke teknik sederhana ini untuk menginstal malware mereka di PC

Ekstensi ini berisi berbagai cara untuk mencuri data langsung dari browser web, termasuk kemampuan untuk mengambil tangkapan layar, mencuri cookie, mencuri informasi yang dimasukkan dalam formulir, serta keylogger, yang mencatat apa pun yang diketik pengguna di browser. Semua informasi ini kemudian dikirim kembali ke penyerang.

Para peneliti telah menyamakan kemampuan ekstensi untuk trojan perbankan. Mereka menyarankan tujuan akhir dari malware adalah untuk mendapatkan kredensial pengguna, baik untuk dijual di web gelap atau untuk eksploitasi lebih lanjut oleh penyerang. Penjahat dunia maya di balik MagnatBackdoor dan MagnatExtension telah menghabiskan waktu bertahun-tahun untuk mengembangkan dan memperbarui malware dan kemungkinan akan terus berlanjut.

“Kedua keluarga ini telah mengalami pengembangan dan peningkatan terus-menerus oleh penulisnya – ini mungkin bukan yang terakhir kita dengar tentang mereka,” kata Tiago Pereira, seorang peneliti keamanan di Cisco Talos.

“Kami yakin kampanye ini menggunakan malvertising sebagai sarana untuk menjangkau pengguna yang tertarik dengan kata kunci yang terkait dengan perangkat lunak dan memberikan mereka tautan untuk mengunduh perangkat lunak populer. Jenis ancaman ini bisa sangat efektif dan memerlukan beberapa lapisan kontrol keamanan, seperti perlindungan titik akhir, pemfilteran jaringan, dan sesi kesadaran keamanan,” tambahnya.

LEBIH BANYAK TENTANG KEAMANAN SIBER

Posted By : togel hari ini hongkong