Jakarta, Bleeping Computer — Kampanye distribusi malware baru menggunakan error (kesalahan) palsu pada Google Chrome, Word, dan OneDrive untuk mengelabui pengguna agar menjalankan “perbaikan” PowerShell berbahaya yang memasang malware.
Kampanye baru ini diketahui digunakan oleh beberapa pelaku ancaman, termasuk mereka yang berada di belakang ClearFake, kelompok serangan baru yang disebut ClickFix, dan pelaku ancaman TA571, yang dikenal beroperasi sebagai distributor spam yang mengirimkan email dalam jumlah besar, yang menyebabkan infeksi malware dan ransomware.
Serangan ClearFake sebelumnya memanfaatkan overlay situs web yang meminta pengunjung memasang pembaruan browser palsu yang memasang malware.
Pelaku ancaman juga memanfaatkan JavaScript dalam lampiran HTML dan situs web yang disusupi dalam serangan baru ini. Namun, sekarang overlay tersebut menampilkan kesalahan Google Chrome, Microsoft Word, dan OneDrive palsu.
Kesalahan ini meminta pengunjung mengklik tombol untuk menyalin “perbaikan” PowerShell ke clipboard, lalu menempelkannya dan menjalankannya dalam dialog: Jalankan atau perintah PowerShell.
“Meskipun rantai serangan memerlukan interaksi pengguna yang signifikan agar berhasil, rekayasa sosial cukup pintar untuk menyajikan kepada seseorang apa yang tampak seperti masalah nyata dan solusi secara bersamaan, yang mungkin mendorong pengguna untuk mengambil tindakan tanpa mempertimbangkan risikonya,” peringatan dari laporan terbaru oleh ProofPoint.
Payload yang dilihat oleh Proofpoint termasuk DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, pembajak clipboard, dan Lumma Stealer.
“Perbaikan” PowerShell Mengarah ke Malware
Analis Proofpoint mengamati tiga rantai serangan yang berbeda terutama pada tahap awal, dan hanya rantai serangan pertama yang tidak dikaitkan dengan tingkat keyakinan tinggi ke TA571.
Dalam kasus pertama ini, terkait dengan pelaku ancaman di balik ClearFake, pengguna mengunjungi situs web yang disusupi yang memuat skrip berbahaya yang dihosting di blockchain melalui kontrak Smart Chain Binance.
Skrip ini melakukan beberapa pemeriksaan dan menampilkan peringatan Google Chrome palsu yang menyatakan ada masalah dalam menampilkan halaman web. Dialog kemudian meminta pengunjung untuk menginstal “sertifikat root” dengan menyalin skrip PowerShell ke Clipboard Windows dan menjalankannya di konsol Windows PowerShell (Admin).
Saat skrip PowerShell dijalankan, skrip ini akan melakukan berbagai langkah untuk mengonfirmasi bahwa perangkat adalah target yang valid, lalu skrip tersebut akan mengunduh payload tambahan, seperti diuraikan di bawah.
- Menghapus cache DNS.
- Menghapus konten clipboard.
- Menampilkan pesan umpan palsu.
- Mengunduh skrip PowerShell jarak jauh lainnya, yang melakukan pemeriksaan anti-VM sebelum mengunduh program pencuri info.
Rantai serangan kedua dikaitkan dengan kampanye ‘ClickFix‘ dan menggunakan suntikan pada situs web yang disusupi yang membuat iframe untuk melapisi kesalahan (error) Google Chrome palsu lainnya.
Pengguna diinstruksikan untuk membuka “Windows PowerShell (Admin)” dan menempelkan kode yang diberikan, yang menyebabkan infeksi yang sama seperti yang disebutkan di atas.
Terakhir, rantai infeksi berbasis email yang menggunakan lampiran HTML yang menyerupai dokumen Microsoft Word meminta pengguna untuk menginstal ekstensi “Word Online” untuk melihat dokumen dengan benar.
Pesan kesalahan menawarkan opsi “How to fix (Cara memperbaiki)” dan “Auto-fix (Perbaikan otomatis)”. Opsi “How to fix (Cara memperbaiki)” menyalin perintah PowerShell yang dikodekan base64 ke clipboard, memerintahkan pengguna untuk menempelkannya ke PowerShell.
Opsi “Auto-fix (Perbaikan otomatis” menggunakan protokol search-ms untuk menampilkan file “fix.msi” atau “fix.vbs” yang dihosting WebDAV pada file sharing yang dikendalikan penyerang jarak jauh.
Dalam hal ini, perintah PowerShell mengunduh dan mengeksekusi file MSI atau skrip VBS, yang masing-masing menyebabkan infeksi Matanbuchus atau DarkGate.
Dalam semua kasus, pelaku ancaman mengeksploitasi kurangnya kesadaran target mereka tentang risiko menjalankan perintah PowerShell di sistem mereka.
Mereka juga memanfaatkan ketidakmampuan Windows untuk mendeteksi dan memblokir tindakan jahat yang dipicu oleh kode yang ditempelkan.
Rantai serangan yang berbeda menunjukkan bahwa TA571 secara aktif bereksperimen dengan berbagai metode untuk meningkatkan efektivitas dan menemukan lebih banyak jalur infeksi untuk menyusupi lebih banyak sistem.
Sumber = Bleeping Computer