hacker gunakan google ads untuk menyebarkan ransomeware

 

Aktivitas kluster ancaman yang berkembang  telah ditemukan di google ada di salah satu kampanyenya untuk mendiskusikan berbagai muatan pasca-kompromi, termasuk royal Ransomeware yang baru ditemukan.

Microsoft, yang melihat metode pengiriman Malware yang di update pada akhir Oktober 2022, melacak grup tersebut dengan nama DEV-0569.

"Serangan DEV-0569 yang diamati menunjukan pola inovasi berkelanjutan, dengan penggabungan reguler teknik penemuan baru, penghindaran pertahanan, dan berbagai muatan pasca-kompromi, di samping peningkatan fasilitasi Ransomeware," ucap tim Microsoft Security Threat Intelligence dalam sebuah analisis.

Pelaku diketahui mengandalkan malvertising untuk mengarahkan korban yang tidak menaruh curiga ke tautan pengunduh malware yang berperan sebagai penginstal perangkat lunak untuk aplikasi seperti Adobe Flash Player, anyDesk, LogMeln, Microsoft Teams, dan Zoom.

Pengunduh malware, jenis yang disebut BOOTLOADER, adalah dropper yang berfungsi sebagai saluran untuk menyebarkan muatan Malware tahap berikutnya. Telah diamati untuk berbagi tumpang tindih dengan Malware lain yang disebut Zloader.

Analisis BOOTLOADER baru-baru ini oleh eSentire dan VMware menyebut siluman dan kegigihan sebuah Malware, selain pengunaan peracunan optimisasi mesin pencari (SEO) untuk memikat pengguna mengunduh Malware dari situs web yang disusupi atau domain yang dibuat hacker.

Sederhananya, tautan phising dibagikan melalui email spam, halaman forum palsu, komentar blog, dan bahkan formulir kontak yang ada di situs web organisasi yang ditargetkan.

"DEV-0569 telah menggunakan berbagai rantai infeksi menggunakan powershell dan skrip batch yang pada akhirnya mengarah pada pengunduhan malware seperti pencuri informasi pribadi atau alat manajemen jauh yang sah digunakan untuk bertahan di jaringan" ucap raksasa teknologi (Microsoft).

"Alat manajemen juga bisa menjadi titik akses untuk pementasan dan penyebaran Ransomeware."

Alat yang juga digunakan adalah NSudo untuk meluncurkan program dengan hak istimewa yabg lebih tinggi dan merusak pertahanan dengan menambahkan nilai registri yang dirancang untuk menonaktifkan solusi antivirus.

"Karena skema phising DEV-0569 menyalahgunakan layanan yang sah, organisasi juga dapat memanfaatkan aturan aliran email untuk menangkap kata kunci yang mencurigakan atau meninjau pengecualian yang luas, seperti yang terkait dengan IP addres dan daftar izin domain," ucap Microsoft.

Share :