Peretas Gunakan Ke Google Ads Untuk Menyebarkan Malware Pencuri Informasi

Google. Foto: Pexels

Cyberthreat.id – Peretas menyiapkan situs web palsu untuk perangkat lunak bebas dan sumber terbuka populer untuk mempromosikan unduhan berbahaya melalui iklan di hasil penelusuran Google.

Setidaknya satu pengguna terkemuka di kancah cryptocurrency telah menjadi korban kampanye ini. Di mana, peretas mencuri semua aset kripto digital mereka bersama dengan kendali atas akun profesional dan pribadi dengan menggunakan metode ini.

Dikutip dari Bleeping Computer, crypto influencer Alex, yang lebih dikenal dengan persona online mereka NFT God, diretas setelah meluncurkan executable palsu untuk rekaman video Open Broadcaster Software (OBS) dan perangkat lunak streaming langsung yang telah mereka unduh dari iklan Google di hasil pencarian.

“Tidak ada yang terjadi saat saya mengklik EXE, namun beberapa jam kemudian teman-teman memberi tahu mereka bahwa akun Twitter mereka telah diretas,” tulis Alex melalui akun Twitter resminya.

Tanpa sepengetahuan Alex, ini kemungkinan adalah malware pencuri informasi yang mencuri kata sandi browser, cookie, token Discord, dan dompet cryptocurrency yang disimpan dan mengirimkannya ke penyerang jarak jauh. Segera, Alex menemukan bahwa akun mereka di pasar OpenSea NFT juga telah disusupi dan dompet lain terdaftar sebagai pemilik salah satu aset digital mereka.

Meskipun ini bukan strategi baru, pelaku ancaman tampaknya lebih sering menggunakannya. Pada Oktober tahun lalu, BleepingComputer melaporkan kampanye besar-besaran yang mengandalkan lebih dari 200 domain kesalahan ketik untuk lebih dari dua lusin merek untuk menyesatkan pengguna.

Mengikuti utas NFT God, BleepingComputer melakukan penelitiannya sendiri dan menemukan bahwa OBS adalah salah satu dari daftar panjang perangkat lunak yang ditiru oleh pelaku ancaman untuk mendorong unduhan berbahaya dalam hasil pencarian Google Ads. Salah satu contoh temuan ini adalah hasil pencarian Iklan Google untuk Rufus, utilitas gratis untuk membuat flash drive USB yang dapat di-boot.

Aktor ancaman mendaftarkan domain yang menyerupai domain resmi dan menyalin bagian utama dari situs yang sah hingga ke bagian unduhan. Dalam satu kasus, mereka menggunakan domain tingkat atas generik "pro", kemungkinan besar dalam upaya untuk membangkitkan minat korban dan menarik dengan janji serangkaian fitur program yang lebih luas.

BleepingComputer juga menemukan situs web berisi unduhan perangkat lunak palsu yang didistribusikan hanya melalui hasil penelusuran Google Ads. Situs web tersebut meniru apa yang tampak sebagai perusahaan desain web resmi di India bernama Zensoft Tech.

Di antara perangkat lunak yang kami temukan di situs web adalah utilitas kompresi file 7-ZIP dan WinRAR, dan pemutar media VLC yang banyak digunakan. Dari domain yang berbeda, pelaku ancaman menyediakan versi berbahaya dari utilitas CCleaner untuk menghapus file yang mungkin tidak diinginkan dan entri Registri Windows yang tidak valid.

Tampaknya para peretas berusaha untuk mengalahkan pengembang yang sah dan dengan demikian menempatkan iklan mereka di posisi teratas. Seperti yang terlihat pada gambar di bawah, situs resmi CCleaner ditampilkan di bawah iklan jahat. Situs ini menawarkan file CCleaner.zip yang menginstal malware pencuri informasi Redline.

Bahkan, peneliti keamanan dari perusahaan cybersecurity CronUp, Germán Fernández, telah mengeluarkan daftar 70 domain yang menyebarkan malware melalui hasil penelusuran Google Ads dengan meniru perangkat lunak yang sah. Situs web tersebut adalah replika dari yang resmi dan menyediakan perangkat lunak palsu atau mengalihkan ke lokasi pengunduhan lain.

“Banyak dari mereka menawarkan Audacity dan beberapa untuk VLC dan editor gambar GIMP,” kata Fernández.

Melihat salah satu sampel yang ditandai sebagai berbahaya oleh beberapa produk AV, peneliti keamanan Will Dormann memperhatikan bahwa sampel tersebut memiliki tanda tangan yang tidak valid dari perusahaan keamanan siber Bitdefender. Malware ini mengumpulkan data sensitif dari browser (kredensial, kartu kredit, info pelengkapan otomatis), detail tentang sistem (nama pengguna, lokasi, perangkat keras, perangkat lunak keamanan yang tersedia), dan mata uang kripto.

Fernández menemukan bahwa salah satu pelaku ancaman mendistribusikan trojan akses jarak jauh berbasis .NET, SectorAT, juga dikenal sebagai Arechclient2, melalui unduhan palsu untuk editor audio digital Audacity. Peneliti juga menemukan pencuri info Vidar yang dikirimkan melalui unduhan berbahaya untuk Blender 3D yang diiklankan di Google Penelusuran. Vidar fokus mengumpulkan info sensitif dari browser dan juga dapat mencuri dompet cryptocurrency.

Gunakan Pemblokir Iklan

BleepingComputer telah membagikan beberapa temuan ini dengan Google dan perwakilan perusahaan memberi tahu kami bahwa kebijakan platform dirancang dan ditegakkan untuk mencegah peniruan merek.

Dengan menggunakan iklan bersponsor dalam hasil pencarian sebagai saluran pengiriman malware telah ditandai oleh FBI dalam peringatan tahun lalu sebelum Natal. Agensi memperingatkan bahwa "iklan ini muncul di bagian paling atas hasil pencarian dengan perbedaan minimum antara iklan dan hasil pencarian yang sebenarnya" dan mereka menautkan ke situs web yang "terlihat identik dengan halaman web resmi bisnis yang ditiru."

Karena itu, penjahat siber memiliki peluang lebih baik untuk menyebarkan malware mereka ke kumpulan pengguna yang lebih besar yang tidak menaruh curiga. Memeriksa URL sumber unduhan selalu merupakan saran yang bagus. Ditambah dengan penggunaan pemblokir iklan, tingkat perlindungan terhadap jenis ancaman ini akan menurun drastis.

Pemblokir iklan tersedia sebagai ekstensi di sebagian besar browser web dan, seperti namanya, mereka menghentikan pemuatan iklan dan ditampilkan di halaman web, termasuk hasil pencarian. Selain menambah kenyamanan penggunaan internet, pemblokir iklan juga meningkatkan privasi dengan mencegah kuki pelacak di iklan mengumpulkan data tentang kebiasaan menjelajah pengguna.