Periset dari perusahaan cybersecurity Proofpoint baru-baru ini menemukan sebuah peluncuran serangan malvertising berskala besar yang mengekspos jutaan pengguna internet di Amerika Serikat, Kanada, Inggris, dan Australia untuk menyebarkan malware.
Aktif selama lebih dari satu tahun dan masih terus berlangsung, kampanye malware sedang dilakukan oleh kelompok hacking yang disebut KovCoreG, yang terkenal karena menyebarkan malware penipuan iklan Kovter pada tahun 2015, dan yang paling baru di tahun 2017 ini.
Kelompok hacking KovCoreG pada awalnya memanfaatkan P0rnHub – salah satu situs dewasa yang paling banyak dikunjungi di dunia – untuk mendistribusikan pembaruan browser palsu yang bekerja pada ketiga peramban web utama Windows, termasuk Chrome, Firefox, dan Microsoft Edge/Internet Explorer.
Menurut periset Proofpoint, infeksi dalam peluncuran serangan ini pertama kali muncul di halaman web P0rnHub melalui jaringan periklanan sah yang disebut Traffic Junky, dengan menipu pengguna agar menginstal malware Kovtar ke sistem mereka.
Di antara hal-hal berbahaya lainnya, malware Kovter dikenal dengan mekanisme persistensinya yang unik, yang memungkinkan malware tersebut memuat dirinya sendiri setelah host yang terinfeksi di reboot.
Jaringan periklanan Traffic Junky mengalihkan pengguna ke situs web berbahaya, pengguna Chrome dan Firefox akan diperlihatkan jendela pembaruan peramban palsu, sementara pengguna Internet Explorer dan Edge diperlihatkan pembaruan Flash palsu.
“Rantai [infeksi] dimulai dengan pengalihan berbahaya yang dilakukan di avertizingms[.]com, yang memasukkan panggilan ke host KeyCDN, jaringan pengiriman konten utama,” tulis Proofpoint.
Penyerang menggunakan sejumlah filter dan fingerprinting dari “zona waktu, dimensi layar, bahasa (pengguna/browser) sepanjang history jendela browser, dan pembuatan id unik melalui Mumour,” dalam upaya untuk menargetkan pengguna dan menghindari analisis.
Periset mengatakan pengguna Chrome terinfeksi dengan JavaScript yang diakon kembali ke server yang dikendalikan oleh penyerang, mencegah analis keamanan bekerja melalui rantai infeksi jika IP mereka tidak “checked in“.
“Ini membuat sangat tidak mungkin JavaScript dapat dijalankan sendiri dan memberikan muatan di lingkungan sandbox,” tulis Proofpoint. “Ini kemungkinan besar mengapa komponen rantai ini belum pernah didokumentasikan sebelumnya.”
Dalam kasus ini, penyerang membatasi peluncuran serangan mereka untuk mengeklik penipuan agar menghasilkan pendapatan ilegal, namun periset Proofpoint percaya bahwa malware tersebut dapat dengan mudah dimodifikasi untuk menyebarkan trojan atau malware lainnya.
Baik P0rnHub dan Traffic Junky, menurut para peneliti, “bertindak cepat untuk memulihkan ancaman ini pada saat pemberitahuannya.”
Meskipun rantai infeksi khusus ini berhasil dimatikan setelah operator situs dan jaringan iklan mendapat pemberitahuan, namun penyebaran malware masih berlangsung di tempat lain.
