Peneliti keamanan siber menemukan sebuah serangan yang mengincar pengguna perangkat lunak bajakan. Dalam serangan ini, para peretas memalsukan program berbahaya milik mereka sebagai perangkat lunak yang dicari oleh pengguna. Guna mendistribusikannya, peretas kemudian mengunggah perangkat lunak palsu tersebut melalui berbagai situs palsu yang turut membagikan crack dan kunci aktivasi produk palsu ciptaan mereka. SEO poisoning dan iklan palsu selanjutnya digunakan sebagai teknik untuk menempatkan situs-situs palsu tersebut ke dalam urutan teratas dalam hasil pencarian Google.
Dilansir dari Zcaler, daftar perangkat lunak yang digunakan untuk memikat korban adalah sebagai berikut.
- Adobe Acrobat Pro
- 3DMark
- 3DVista Virtual Tour Pro
- 7-Data Recovery Suite
- MAGIX Sound Force Pro
- Wondershare Dr. Fone
Pada kebanyakan kasus, program berbahaya yang disamarkan sebagai perangkat lunak harus diunduh melalui layanan hosting berkas eksternal, sehingga dalam prosesnya korban mampu diarahkan ke berbagai halaman lain.
Beberapa situs palsu yang disebutkan dalam laporan Zcaler adalah sebagai berikut.
- xproductkey[.]com
- allcracks[.]org
- prolicensekeys[.]com
- deepprostore[.]com
- steamunlocked[.]one
- getmacos[.]org
Saat unduhan selesai, pengguna akan mendapatkan sebuah arsip yang memuat dua buah berkas, yakni sebuah berkas ZIP berukuran 1,3MB yang terkunci dan sebuah berkas TXT berisi kata sandinya. Penggunaan kata kunci pada berkas ZIP diduga untuk menghindari pemindaian antivirus.
Setelah berhasil diekstrak, isi dari berkas ZIP tersebut membengkak hingga menjadi berukuran 600MB. Ukuran besar tersebut dihasilkan oleh penggunaan teknik byte padding yang memang kerap kali digunakan oleh pencipta program berbahaya untuk mengaburkan upaya-upaya analisis.
Perangkat lunak yang dimuat sejatinya merupakan pengunduh program berbahaya yang menjalankan perintah PowerShell terenkripsi. Perintah tersebut selanjutnya akan menampilkan command prompt Windows setelah 10 detik untuk menghindari analisis sandbox. Proses command prompt yang berjalan akan mengunduh sebuah berkas DLL dalam susunan terbalik yang disamarkan sebagai JPG. Isi dari berkas DLL tersebut kemudian akan ditata ulang guna menghasilkan Redline Stealer.
Redline Stealer merupakan program pencuri informasi yang dapat memanen kata sandi yang tersimpan dalam browser, data kartu kredit, bookmarks, cookie, berkas dan dompet kripto, kredensial VPN, detail komputer, dan data-data lainnya.
Sebagai upaya pencegahan, hindari mengunduh perangkat lunak bajakan, crack, generator serial key, maupun program-program lain yang berhubungan dengan pembajakan. Situs-situs yang muncul pada urutan teratas hasil pencarian Google juga perlu diwaspadai keasliannya.
Sumber: https://www.bleepingcomputer.com/news/security/pirated-3dmark-benchmark-tool-delivering-info-stealer-malware/
Sumber gambar: Unsplash dan BleepingComputer