Broker Akses Ransomware Gunakan Iklan Google Untuk Tembus Jaringan Pengguna

Cyberthreat.id – Peneliti keamanan siber MalwareHunterTeam, Germán Fernández, dan Will Dormann, mengungkapkan bahwa pelaku ancaman menggunakan Google Ads dalam kampanye iklan yang tersebar luas.

Pelaku ancaman yang dilacak sebagai DEV-0569, menggunakan Google Ads untuk mendistribusikan malware, mencuri sandi korban, dan pada akhirnya menerobos jaringan untuk serangan ransomware.

Dikutip dari Bleeping Computer, peneliti telah mengilustrasikan bagaimana hasil penelusuran Google telah menjadi sarang iklan berbahaya yang mendorong malware. Iklan ini berpura-pura menjadi situs web untuk program perangkat lunak populer, seperti LightShot, Rufus, 7-Zip, FileZilla, LibreOffice, AnyDesk, Awesome Miner, TradingView, WinRAR, dan VLC.

“Mengeklik iklan mengarahkan pengunjung ke situs yang muncul sebagai portal unduhan atau replika situs resmi perangkat lunak, seperti yang ditunjukkan di bawah ini,” kata peneliti.

Namun, saat mengeklik tautan unduhan, biasanya [emhhima mengunduh file MSI yang memasang berbagai malware tergantung pada kampanyenya. Daftar malware yang diinstal dalam kampanye ini sejauh ini termasuk RedLine Stealer, Gozi/Ursnif, Vidar, dan kemungkinan, Cobalt Strike dan ransomware.

Meskipun tampaknya ada banyak pelaku ancaman yang menyalahgunakan platform Google Ads untuk mendistribusikan malware, ada dua kampanye khusus yang menonjol, karena infrastruktur mereka sebelumnya dikaitkan dengan serangan ransomware.

Peneliti percaya bahwa DEV-0569 adalah broker akses awal yang menggunakan sistem distribusi malware untuk menembus jaringan perusahaan. Mereka menggunakan akses ini dalam serangan mereka sendiri atau menjualnya ke aktor jahat lainnya, seperti geng ransomware Royal.

Sebelumnya, peneliti CronUp Germán Fernández mencatat bahwa iklan Google baru-baru ini yang mempromosikan perangkat lunak populer menyebabkan situs jahat menggunakan infrastruktur yang dioperasikan oleh pelaku ancaman DEV-0569. Saat penginstal berbahaya dalam kampanye ini tidak lagi menggunakan BatLoader, seperti kampanye sebelumnya yang dilihat oleh Microsoft, mereka menginstal pencuri informasi (RedLine Stealer) dan kemudian pengunduh malware (Gozi/Ursnif).

Dalam kampanye saat ini, RedLine digunakan untuk mencuri data, seperti kata sandi, cookie, dan dompet cryptocurrency, sedangkan Gozi/Ursnif digunakan untuk mengunduh malware lebih lanjut. Fernández memberi tahu BleepingComputer bahwa dia menautkan kampanye baru ini ke DEV-0569 karena mereka menggunakan repositori bitbucket yang sama dan URL ads-check[.]com yang digunakan dalam kampanye November/Desember 2022 yang dilaporkan.

Fernández tidak menunggu cukup lama untuk melihat apakah Cobalt Strike dan Royal Ransomware akan dipasang. Namun, dia memberi tahu BleepingComputer bahwa dia yakin para peretas pada akhirnya akan menggunakan infeksi Gozi untuk menjatuhkan Cobalt Strike seperti yang dilakukan BatLoader di kampanye sebelumnya.

Fernández juga mengakses panel web DEV-0569 yang digunakan untuk melacak kampanye distribusi malware mereka dan membagikan tangkapan layar di Twitter. Tangkapan layar ini menunjukkan program sah yang ditiru dan banyak korban di seluruh dunia yang terinfeksi setiap hari. Ketika ditanya berapa banyak orang yang terinfeksi oleh kampanye ini berdasarkan statistik panel web, dia mengatakan hanya bisa memperkirakan jumlahnya.

“Mereka membersihkan data panel setiap hari kampanye, tapi ada data yang bisa memberi kita gambaran, itu adalah ID korelatif dari catatan (bisa jadi perkiraan nilai jumlah korban panel ini, dalam hal ini nilai terakhir hari ini adalah 63576)," kata Fernández kepada BleepingComputer.

Lebih buruk lagi, Fernández menemukan bahwa kampanye iklan Google yang berbeda tetapi serupa menggunakan infrastruktur yang sebelumnya digunakan oleh grup ancaman yang dilacak sebagai TA505, yang dikenal mendistribusikan ransomware CLOP.

Dalam kampanye iklan Google ini, pelaku ancaman mendistribusikan malware melalui situs web yang berpura-pura menjadi perangkat lunak populer, seperti AnyDesk, Slack, Microsoft Teams, TeamViewer, LibreOffice, Adobe, dan, anehnya, situs web untuk formulir IRS W-9. Ketika malware dari kampanye ini diinstal, itu akan menjalankan skrip PowerShell yang mengunduh dan mengeksekusi DLL dari situs web download-cdn[.]com, yang sebelumnya digunakan TA505.

Namun, peneliti ancaman Proofpoint Tommy Madjar mengatakan kepada BleepingComputer bahwa domain ini telah berpindah kepemilikan di masa lalu, dan tidak jelas apakah TA505 masih menggunakannya.

Dengan kampanye ini digunakan untuk mendapatkan akses awal ke jaringan perusahaan, mereka dapat menyebabkan berbagai serangan, seperti pencurian data, ransomware, dan bahkan serangan destruktif untuk mengganggu operasi perusahaan.