Microsoft telah mengungkapkan rincian kampanye malvertising berskala besar yang diperkirakan telah memengaruhi lebih dari satu juta perangkat di seluruh dunia. Serangan ini dikategorikan sebagai serangan oportunistik yang bertujuan mencuri informasi sensitif.

Raksasa teknologi tersebut mendeteksi aktivitas ini pada awal Desember 2024 dan melacaknya di bawah kelompok ancaman Storm-0408, sebutan untuk sekelompok aktor jahat yang dikenal menyebarkan malware pengakses jarak jauh atau pencuri informasi melalui phishing, optimasi mesin pencari (SEO), atau malvertising.

"Serangan ini berasal dari situs streaming ilegal yang disusupi pengalihan malvertising, membawa pengguna ke situs perantara sebelum akhirnya diarahkan ke GitHub dan dua platform lainnya," ujar tim Microsoft Threat Intelligence.

Kampanye ini berdampak pada berbagai organisasi dan industri, termasuk perangkat konsumen dan perusahaan, menunjukkan sifat serangan yang tidak pandang bulu.

Salah satu aspek paling signifikan dari kampanye ini adalah penggunaan GitHub sebagai platform untuk mendistribusikan payload akses awal. Dalam dua kasus lainnya, payload juga ditemukan di-host di Discord dan Dropbox. Repositori GitHub tersebut kini telah dihapus, meskipun Microsoft tidak mengungkapkan jumlah repositori yang ditutup.

GitHub digunakan sebagai tempat penyimpanan dropper malware yang bertugas menginstal berbagai program tambahan seperti Lumma Stealer dan Doenerium, yang mampu mengumpulkan informasi sistem.

Serangan ini juga melibatkan rantai pengalihan yang kompleks dengan empat hingga lima lapisan, di mana pengalihan awal tertanam dalam elemen iframe di situs streaming ilegal yang menawarkan konten bajakan.

Proses infeksi secara keseluruhan berlangsung dalam beberapa tahap, meliputi:

·       Penemuan sistem

·       Pengumpulan informasi

·       Penggunaan payload lanjutan seperti NetSupport RAT dan skrip AutoIT untuk memfasilitasi pencurian data lebih lanjut

Trojan pengakses jarak jauh ini juga menjadi jalur bagi malware pencuri informasi. Salah satu ciri khas serangan ini adalah penggunaan berbagai skrip PowerShell untuk mengunduh NetSupport RAT, mengidentifikasi aplikasi yang terinstal, serta memindai perangkat lunak keamanan dan dompet kripto, menunjukkan adanya potensi pencurian data finansial.

"Selain pencuri informasi, skrip PowerShell, JavaScript, VBScript, dan AutoIT dijalankan pada perangkat korban," kata Microsoft. "Aktor ancaman juga memanfaatkan penggunaan living-off-the-land binaries and scripts (LOLBAS) seperti PowerShell.exe, MSBuild.exe, dan RegAsm.exe untuk Command and Control (C2) serta eksfiltrasi data pengguna dan kredensial browser."

Pengungkapan ini muncul bersamaan dengan laporan Kaspersky yang menemukan bahwa situs palsu yang menyamar sebagai chatbot kecerdasan buatan (AI) DeepSeek dan Grok digunakan untuk mengelabui pengguna agar menginstal malware pencuri informasi berbasis Python.

Situs umpan bertema DeepSeek yang dipromosikan oleh akun terverifikasi di X (misalnya, @ColeAddisonTech, @gaurdevang2, dan @saduq5) juga digunakan untuk mengeksekusi skrip PowerShell yang memanfaatkan SSH guna memberikan akses jarak jauh bagi penyerang ke komputer korban.

"Para penjahat siber menggunakan berbagai skema untuk memikat korban ke situs berbahaya," ujar Kaspersky. "Biasanya, tautan ke situs semacam itu didistribusikan melalui messenger dan media sosial. Penyerang juga bisa menggunakan typosquatting atau membeli lalu lintas iklan ke situs jahat melalui berbagai program afiliasi."

Sumber:
Microsoft Warns of Malvertising Campaign Infecting Over 1 Million Devices Worldwide