Kali ini ditemukan aktor penjahat siber mendistribusikan malware menggunakan permintaan pembaruan sertifikat keamanan palsu yang ditampilkan di situs web. Hal tersebut dilakukan untuk mengelabui calon korban agar mengunduh dan menginstall backdoor/trojan.
Penjahat tersebut menggunakan pesan error sertifikat situs web “NET::ERR_CERT_OUT_OF_DATE” dalam iframe yang ditampilkan di atas konten aktual situs dan meminta calon korban untuk menginstal sertifikat keamanan palsu.
Sertifikat keamanan (juga dikenal sebagai sertifikat digital atau sertifikat identitas) dikeluarkan oleh Certification Authorities (CA) dan digunakan untuk mengenkripsi komunikasi antara browser pengguna dengan server situs web.
Ketika sertifikat digital kedaluwarsa dan tidak diperpanjang, browser web menampilkan pemberitahuan yang memberi tahu pengunjung situs tentang penurunan keamanan koneksi mereka ke situs web yang dituju.
https://errorcybernews.id/2020/03/04/lets-encrypt-cabut-3-juta-sertifikat-tls/
Pendistribusian malware dengan kedok error sertifikat situs web ini sudah aktif setidaknya selama dua bulan
Peneliti keamanan di Kaspersky telah menemukan tanda-tanda awal pendistribusian malware ini berasal dari 16 Januari 2020, dengan berbagai jenis situs web yang berhasil disusupi dan digunakan untuk mengirimkan malware ke calon korban, mulai dari toko onderdil mobil sampai dengan situs kebun binatang.
“Pemberitahuan yang mengkhawatirkan terdiri dari overlay iframe (dengan konten yang dimuat dari sumber pihak ketiga ldfidfa[.]pw) di atas halaman asli, sementara bilah URL masih menampilkan alamat yang sah.” kata para peneliti.
Kode yang diinjeksikan oleh penjahat ini merupakan overlayiframe skrip jquery.js berbahaya dengan ukuran yang sama persis dengan laman web yang disusupi.
“Konten iframe diambil dari alamat https[:]//ldfidfa[.]pw//chrome.html,” tambah para peneliti. “Akibatnya, sebagai pengalihan halaman asli, pengunjung akan melihat spanduk yang tampaknya asli dan mendesak pengunjung untuk menginstal pembaruan sertifikat.”
Jika calon korban tertipu oleh trik penjahat dan meng-klik tombol “Instal (Disarankan)” di bawah pesan peringatan palsu, maka akan mengunduh file Certificate_Update_v02.2020.exe yang akan menginfeksi korban dengan malware.
Rincian lebih lanjut tentang informasi ini dan indicators-of-compromise (IoC), termasuk hash malware dan info domain server command-and-control tersedia di akhir analisis Kaspersky.
