Aktivitas malvertising terbaru menunjukkan taktik baru, dengan para penyerang menggunakan situs palsu yang menyamar sebagai portal berita Windows yang sah untuk menyebarkan penginstal jahat untuk alat pembuatan profil sistem populer, CPU-Z. Kampanye ini merupakan bagian dari serangkaian serangan malvertising yang lebih besar, menargetkan utilitas populer seperti Notepad++, Citrix, dan VNC Viewer.
Baca Juga : Sebanyak 50 GB Data Boeing Bocor Akibat Serangan Ransomware LockBit
Dilansir dari Cyberthreat ID, Jérôme Segura dari Malwarebytes mengungkapkan bahwa situs palsu meniru WindowsReport[.]com, sebuah langkah penyimpangan dari taktik biasa kampanye malvertising yang menciptakan situs replika yang mengiklankan perangkat lunak umum. Tujuannya adalah mengecoh pengguna yang mencari CPU-Z dengan menampilkan iklan berbahaya. Saat di klik, iklan tersebut mengarahkan pengguna ke portal palsu, workspace-app[.]online.
Para penyerang menggunakan teknik penyelubungan, di mana pengguna yang bukan korban kampanye akan diarahkan ke blog tidak berbahaya dengan artikel berbeda. Dalam serangan ini, penginstal MSI bertanda tangan dihosting di situs web jahat berisi skrip PowerShell berbahaya yang disebut FakeBat atau EugenLoader. Skrip ini bertindak sebagai saluran untuk menyebarkan RedLine Stealer pada host yang disusupi.
Baca Juga : Hacker Rusia Sandworm Serang Gardu Listrik Ukraina, Menyebabkan Pemadaman Listrik pada Oktober 2022
Segura menyatakan bahwa kemungkinan para penyerang memilih meniru Windows Report karena banyak utilitas perangkat lunak yang sering diunduh dari portal tersebut. Meskipun belum ada konfirmasi dari Boeing, perkembangan ini menambah daftar serangan malvertising yang memanfaatkan Google Ads untuk menyebarkan malware.
Sebelumnya, eSentire mengungkapkan kampanye Nitrogen yang membuka jalan bagi serangan ransomware BlackCat melalui trik yang mirip. Perusahaan keamanan siber Kanada juga mencatat dua kampanye lain yang menggunakan metode pengunduhan drive-by untuk menyebarkan malware berbahaya.
Sementara itu, ancaman semakin mengandalkan perangkat phishing adversary-in-the-middle (AiTM) seperti NakedPages, Strox, dan DadSec untuk melewati autentikasi multifaktor dan mencuri akun yang ditargetkan. eSentire juga memperingatkan tentang serangan Wiki-Slack yang mengeksploitasi celah dalam format Slack untuk mengarahkan korban ke situs web yang dikendalikan oleh penyerang melalui merusak bagian akhir paragraf pertama artikel Wikipedia dan membagikannya di platform perpesanan perusahaan.
