Kampanye distribusi malware yang terorganisir dan sangat dinamis telah memanfaatkan ribuan situs web yang diretas untuk mengalihkan pengguna ke halaman web yang menampilkan pembaruan perangkat lunak palsu dalam upaya untuk penginfeksian malware.
Menurut Jerome Segura, peneliti Malwarebytes yang menganalisis beberapa rantai infeksi untuk mengumpulkan skema grander, kampanye ini dimulai empat bulan lalu, pada bulan Desember 2017.
Segura menamakan kampanye “FakeUpdates” karena semua situs berbahaya terkait akan mengalihkan pengguna ke halaman web yang menghosting paket pembaruan untuk berbagai jenis perangkat lunak, biasanya Google Chrome, Mozilla Firefox, Internet Explorer, atau Adobe Flash Player.
https://www.youtube.com/watch?v=qFAo8c7ps_E
Penjahat membajak lalu lintas dari situs yang diretas
Penjahat di balik kampanye ini bergantung pada situs web yang diretas untuk membajak lalu lintas yang sah untuk halaman pembaruan palsu.
Segura mengatakan ia mengamati sebagian besar lalu lintas yang berasal dari situs WordPress, Joomla, dan Squarespace yang diretas, tetapi peneliti Malwarebytes juga mengatakan ia melihat penjahat yang memanfaatkan platform CMS lainnya, juga, biasanya yang menjalankan versi tua yang rentan terhadap serangan.
Both sites have squarespace CMS in common🤔
domain.tld/config redirects to squarespace login— 🆁🅴🅶🅶🅸🅴 (@Ring0x0) March 22, 2018
Cara penjahat membajak lalu lintas dari situs-situs ini adalah dengan menginjeksikan kode JavaScript di dalam file JS yang sudah ada di situs, atau dengan memuat file JS baru.
Peran kode JS berbahaya ini adalah untuk membawa pengguna melalui serangkaian pengalihan otomatis sampai ia mendarat di situs web lain yang diretas di mana penjahat menghosting laman dengan paket pembaruan palsu.
Update palsu mengirimkan trojan perbankan, RAT
Pengguna yang ditipu untuk mengunduh paket pembaruan palsu tidak menerima file EXE, tetapi skrip JS lainnya, biasanya dihosting di tautan Dropbox. Menjalankan skrip JS akan mengunduh dan menginstal payload malware akhir.
Segura mengatakan bahwa selama tesnya, malware yang ia terima adalah trojan perbankan Chthonic, tetapi laporan lain juga menggambarkan kampanye FakeUpdates yang menjatuhkan NetSupport RAT.
“File ‘umpan’ terdiri dari skrip dan bukan executable file yang berbahaya, memberikan fleksibilitas kepada penyerang untuk mengembangkan teknik obfuskasi dan fingerprint yang menarik,” kata Segura.
FakeUpdates mungkin akan terus berevolusi dari kampanye sebelumnya
Secara keseluruhan, kampanye pengiriman malware FakeUpdates agak mirip dengan apa yang Error 404 Cyber News dan peneliti keamanan lainnya telah laporkan di masa lalu.
Kampanye FakeUpdates adalah hasil dari lebih banyak lagi penjahat cyber yang melompat pada tren distribusi malware terbaru ini, menyempurnakan teknik yang ada, dan membangun infrastruktur secara besar-besaran seiring berjalannya waktu.
