Sebuah kelompok penjahat siber telah memanfaatkan Google Ads untuk menyebarkan versi trojan dari aplikasi CPU-Z dengan menyuntikkan malware pencuri informasi Redline.
Kampanye baru ini terdeteksi oleh para analis Malwarebytes berdasarkan infrastruktur pendukungnya, menilai bahwa ini merupakan bagian dari operasi yang sama yang sebelumnya menggunakan iklan jahat Notepad++ untuk mengirimkan aplikasi dengan muatan berbahaya.
Detail Kampanye
Iklan Google berbahaya untuk CPU-Z yang telah di sisipi oleh trojan, alat yang memprofil perangkat keras komputer di Windows, di-host di situs berita Windows yang sah, WindowsReport.
CPU-Z sendiri adalah utilitas gratis yang populer yang membantu pengguna memeriksa berbagai komponen perangkat keras, mulai dari kecepatan kipas, ke frekuensi clock CPU, tegangan, hingga rincian cache.
Iklan Google Berbahaya
Iklan Google berbahaya ini mengarahkan korban melalui langkah pengalihan yang memperdaya crawler anti-missbruk Google dengan mengirim pengunjung yang tidak valid ke situs yang tidak mencurigakan.
Mereka yang dianggap valid untuk menerima muatan dialihkan ke situs berita Windows tiruan yang di-host di salah satu domain berikut:
- argenferia[.]com
- realvnc[.]pro
- corporatecomf[.]online
- cilrix-corp[.]pro
- thecoopmodel[.]com
- winscp-apps[.]online
- wireshark-app[.]online
- cilrix-corporate[.]online
- workspace-app[.]online
Langkah Pengalihan
Langkah-langkah pengalihan ini bertujuan menambahkan lapisan kepercayaan lainnya pada proses infeksi, karena pengguna sudah akrab dengan situs berita teknologi yang menyediakan tautan unduh untuk utilitas yang berguna.
Perbandingan Antara Situs Asli dan Palsu
Mengklik tombol ‘Download now’ menghasilkan penerimaan penginstal CPU-Z yang ditandatangani digital (file MSI) yang berisi skrip PowerShell berbahaya yang diidentifikasi sebagai loader malware ‘FakeBat’.
File Penginstal yang Ditandatangani Digital
Penginstal yang ditandatangani digital (Malwarebytes)
Menandatangani file dengan sertifikat yang valid membuat kemungkinan kecil bahwa alat keamanan Windows atau produk antivirus pihak ketiga yang berjalan di perangkat akan memberikan peringatan kepada pengguna.
Loader ini mengambil muatan Redline Stealer dari URL jarak jauh dan meluncurkannya di komputer korban.
PowerShell Mengunduh Muatan Akhir
PowerShell mengunduh muatan akhir di host (Malwarebytes)
Redline adalah pencuri data yang kuat, mampu mengumpulkan kata sandi, kuki, dan data penjelajahan dari berbagai browser web dan aplikasi, serta data sensitif dari dompet kriptocurrency.
Untuk meminimalkan kemungkinan infeksi malware saat mencari perangkat lunak tertentu, pengguna sebaiknya memperhatikan saat mengklik hasil yang dipromosikan di Google Search dan memeriksa apakah situs dan domain yang dimuat sesuai, atau menggunakan pemblokir iklan yang menyembunyikannya secara otomatis.