{"id":4034,"date":"2024-06-19T15:33:20","date_gmt":"2024-06-19T08:33:20","guid":{"rendered":"https:\/\/csirt.perhutani.co.id\/?p=4034"},"modified":"2024-06-19T15:33:21","modified_gmt":"2024-06-19T08:33:21","slug":"error-google-chrome-palsu-menipu-anda-untuk-menjalankan-skrip-powershell-yang-berbahaya","status":"publish","type":"post","link":"https:\/\/csirt.perhutani.co.id\/?p=4034","title":{"rendered":"Error Google Chrome Palsu Menipu Anda Untuk Menjalankan Skrip Powershell Yang Berbahaya"},"content":{"rendered":"\n

Jakarta, Bleeping Computer<\/strong> \u2014 Kampanye distribusi malware<\/em> baru menggunakan error <\/em>(kesalahan) palsu pada Google Chrome, Word, dan OneDrive untuk mengelabui pengguna agar menjalankan \u201cperbaikan\u201d PowerShell berbahaya yang memasang malware<\/em>.<\/p>\n\n\n\n

Kampanye baru ini diketahui digunakan oleh beberapa pelaku ancaman, termasuk mereka yang berada di belakang ClearFake<\/strong>, kelompok serangan baru yang disebut ClickFix<\/strong>, dan pelaku ancaman TA571<\/strong>, yang dikenal beroperasi sebagai distributor spam yang mengirimkan email dalam jumlah besar, yang menyebabkan infeksi malware<\/em> dan ransomware<\/em>.<\/p>\n\n\n\n

Serangan ClearFake<\/strong> sebelumnya memanfaatkan overlay<\/em> situs web yang meminta pengunjung memasang pembaruan browser palsu yang memasang malware<\/em>.<\/p>\n\n\n\n

Pelaku ancaman juga memanfaatkan JavaScript dalam lampiran HTML dan situs web yang disusupi dalam serangan baru ini. Namun, sekarang overlay<\/em> tersebut menampilkan kesalahan Google Chrome, Microsoft Word, dan OneDrive palsu.<\/p>\n\n\n\n

Kesalahan ini meminta pengunjung mengklik tombol untuk menyalin \u201cperbaikan\u201d PowerShell ke clipboard<\/em>, lalu menempelkannya dan menjalankannya dalam dialog: Jalankan<\/strong> atau perintah PowerShell<\/strong>.<\/p>\n\n\n\n

\u201cMeskipun rantai serangan memerlukan interaksi pengguna yang signifikan agar berhasil, rekayasa sosial cukup pintar untuk menyajikan kepada seseorang apa yang tampak seperti masalah nyata dan solusi secara bersamaan, yang mungkin mendorong pengguna untuk mengambil tindakan tanpa mempertimbangkan risikonya,\u201d peringatan dari laporan terbaru oleh ProofPoint.<\/p>\n\n\n\n

Payload<\/em> yang dilihat oleh Proofpoint termasuk DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, pembajak clipboard, dan Lumma Stealer.<\/p>\n\n\n\n

\u201cPerbaikan\u201d PowerShell Mengarah ke Malware<\/strong><\/h2>\n\n\n\n

Analis Proofpoint mengamati tiga rantai serangan yang berbeda terutama pada tahap awal, dan hanya rantai serangan pertama yang tidak dikaitkan dengan tingkat keyakinan tinggi ke TA571.<\/p>\n\n\n\n

Dalam kasus pertama ini, terkait dengan pelaku ancaman di balik ClearFake<\/strong>, pengguna mengunjungi situs web yang disusupi yang memuat skrip berbahaya yang dihosting di blockchain melalui kontrak Smart Chain Binance.<\/p>\n\n\n\n

Skrip ini melakukan beberapa pemeriksaan dan menampilkan peringatan Google Chrome palsu yang menyatakan ada masalah dalam menampilkan halaman web. Dialog kemudian meminta pengunjung untuk menginstal \u201csertifikat root\u201d dengan menyalin skrip PowerShell ke Clipboard Windows dan menjalankannya di konsol Windows PowerShell (Admin).<\/p>\n\n\n

\n
\"\"
Error<\/em><\/strong> Google Chrome palsu<\/strong> (Sumber: Proofpoint)<\/strong><\/figcaption><\/figure>\n<\/div>\n\n\n

Saat skrip PowerShell dijalankan, skrip ini akan melakukan berbagai langkah untuk mengonfirmasi bahwa perangkat adalah target yang valid, lalu skrip tersebut akan mengunduh payload<\/em> tambahan, seperti diuraikan di bawah.<\/p>\n\n\n\n