Kampanye malvertising yang baru-baru ini terlihat menipu pengguna dengan simulasi pembaruan Windows dalam browser untuk mengirimkan malware pencuri informasi Aurora.
Ditulis dalam Golang, Aurora telah tersedia di berbagai forum peretas selama lebih dari setahun, diiklankan sebagai pencuri info dengan kemampuan luas dan deteksi antivirus rendah.
Menurut peneliti di Malwarebytesoperasi malvertising bergantung pada iklan popunder di situs web konten dewasa dengan lalu lintas konten dewasa yang tinggi dan mengalihkan calon korban ke lokasi penayangan malware.
Bukan pembaruan Windows
Iklan popunder adalah iklan ‘pop-up’ murah yang diluncurkan di belakang jendela browser aktif, tetap tersembunyi dari pengguna hingga mereka menutup atau memindahkan jendela browser utama.
Pada bulan Desember tahun lalu, Google melaporkan bahwa popunder digunakan dalam sebuah kampanye penipuan iklan yang mengumpulkan ratusan ribu pengunjung dan puluhan juta tayangan iklan palsu.
Yang lebih baru ditemukan oleh Malwarebytes memiliki dampak yang jauh lebih rendah, dengan hampir 30.000 pengguna dialihkan dan hampir 600 mengunduh dan menginstal malware pencuri data di sistem mereka.
Namun, aktor ancaman muncul dengan ide imajinatif di mana popunder merender jendela browser layar penuh yang mensimulasikan layar pembaruan sistem Windows.
Para peneliti melacak lebih dari selusin domain yang digunakan dalam kampanye, banyak di antaranya tampak meniru situs web dewasa, yang mensimulasikan pembaruan Windows palsu:
- aktif[.]ru
- chistauyavoda[.]ru
- xxxxxxxxxxxxxxx[.]ru
- activehdd[.]ru
- oled8kultra[.]ru
- xhamster-18[.]ru
- oled8kultra[.]lokasi
- aktifssd6[.]ru
- activedebian[.]ru
- shluhapizdec[.]ru
- 04042023[.]ru
- clickaiineasdfer[.]ru
- moskovpizda[.]ru
- pochelvpizdy[.]ru
- evatds[.]ru
- click7adilla[.]ru
- grhfgetraeg6yrt[.]lokasi
Semuanya berfungsi untuk mengunduh file bernama “ChromeUpdate.exe”, mengungkapkan penipuan layar browser layar penuh; namun, beberapa pengguna masih ditipu untuk menerapkan program jahat yang dapat dieksekusi.
Pemuat malware baru
Pembaru Chrome yang dituduhkan adalah apa yang disebut pemuat malware “sepenuhnya tidak terdeteksi” (FUD) yang disebut ‘Printer Tidak Valid’ yang tampaknya digunakan secara eksklusif oleh aktor ancaman khusus ini.
Malwarebytes mengatakan bahwa ketika analisnya menemukan ‘Printer Tidak Valid’, tidak ada mesin antivirus di Virus Total yang menandainya sebagai berbahaya. Deteksi mulai meningkat beberapa minggu kemudian, setelah publikasi yang relevan laporan dari Morphisec.
Invalid Printer terlebih dahulu memeriksa kartu grafis host untuk menentukan apakah kartu tersebut berjalan di mesin virtual atau di lingkungan sandbox. Jika tidak, itu membongkar dan meluncurkan salinan pencuri informasi Aurora, para peneliti menemukan.
Malwarebytes berkomentar bahwa pelaku ancaman di balik kampanye ini tampaknya sangat tertarik untuk membuat alat yang sulit dideteksi, dan mereka terus mengunggah sampel baru di Virus Total untuk memeriksa bagaimana kinerjanya terhadap mesin pendeteksi.
Jérôme Segura, direktur intelijen ancaman di Malwarebytes, menyadari bahwa setiap kali sampel baru dikirim ke Virus Total, sampel tersebut berasal dari pengguna di Turki dan bahwa “dalam banyak kasus, nama file tampak seperti berasal dari penyusun (yaitu build1_enc_s.exe).”
Penyelidikan lebih lanjut mengungkapkan bahwa pelaku ancaman juga menggunakan an Amadey panel, berpotensi menunjukkan penggunaan alat pengintaian dan pemuatan malware yang terdokumentasi dengan baik, dan juga menjalankan penipuan dukungan teknis yang menargetkan orang Ukraina.
Malwarebytes memberikan analisis teknis tentang penginstalan dan perilaku malware bersama dengan serangkaian indikator kompromi yang dapat digunakan oleh perusahaan dan vendor keamanan untuk melindungi penggunanya.
