Lebih dari 100.000 Website Manfaatkan Google Sites untuk Backdoor RAT

buat-google-sites

Penyebaran backdoor RAT kini semakin berbahaya bagi yang tidak berhati-hati dalam mengunjungi situs. Peneliti menemukan lebih dari dari 100.000 website yang menggunakan Google Sites untuk dijadikan tempat Remote Access Trojan (RAT) yang nantinya bisa mengendalikan komputer korban dari jarak jauh.

Untuk mendapatkan mangsa yang terjebak, hacker ini memanfaatkan Google Sites karena dinilai memiliki kemampuan dari segi Search Engine Optimization (SEO) yang cukup kuat dan pada akhirnya cepat terindeks di halaman penelusuran. Selain itu, website yang didalamnya terdapat backdoor RAT juga memiliki keyword tertarget agar benar-benar cocok dengan siapa ingin ia incar, dan dalam hal ini adalah menargetkan pebisnis, finansial dan perbankan.

Peneliti keamanan eSentire telah mendeteksi beberapa insiden dalam seminggu terakhir. Yang pertama dalam penyebarannya melalui email dan saluran LinkedIn, sementara untuk yang terbaru ini memanfaatkan kata kunci di mesin pencari seperti formulir bisnis e-faktur, kuesioner, dan kuitansi.

Taktik yang digunakan hacker ialah menggunakan Google search redirection agar website yang dikunjungi melakukan redirect otomatis ke website berbahaya yang berisi malware RAT (Remote Access Trojan). Diketahui juga bahwa malware ini memiliki empat nama yang berbeda antara lain SolarMarket, Yellow Cockatoo, Jupyter, dan Polazert dan dengan cara kerja yang sama.

    Credit: eSentire

Cara kerja malware SolarMarket RAT yaitu ketika pengunjung mencoba mengunduh template dokumen yang ada di website, namun nantinya akan dialihkan tanpa disadari ke situs web berbahaya sebagai tempat malware RAT dihosting. Untuk meyakinkan pengunjung, hacker telah menempatkan kata kunci yang relevan dengan bisnis umum untuk mengoptimalkan penelusuran dan memenuhi ketentuan skor PageRank yang tinggi.

"Setelah target mendarat di situs yang dikontrol oleh peretas, halaman tersebut menampilkan tombol download untuk template dokumen yang mereka cari," jelas eSentire dalam posting blognya. "Saat diklik, profesional bisnis dialihkan (tanpa disadari) ke situs web berbahaya yang menyajikan file yang dapat dieksekusi dengan menyamar sebagai dokumen PDF atau dokumen Word."

    Credit: eSentire

Untuk membuka dokumen PDF, hacker akan melakukan upaya untuk meyakinkan pengguna agar menginstall software Slim PDF Reader. Slim PDF adalah aplikasi pembaca keabsahan dokumen PDF yang telah tersedia secara gratis, namun di sini software tersebut juga dibundle dengan RAT. Dan ketika SolarMarket aktif, hacker dapat mengirim perintah dan mengunggah file tambahan ke sistem yang terinfeksi.

“Para pemimpin keamanan dan timnya perlu mengetahui bahwa kelompok ancaman di belakang SolarMarker telah melakukan banyak upaya untuk mengkompromikan profesional bisnis, menyebarkan jaringan luas dan menggunakan banyak taktik untuk berhasil menyamarkan jebakan mereka,” kata Spence Hutchinson, Manager of Threat Intelligence eSentire.

Seperti pada malware RAT lainnya, SolarMarket bisa melakukan apa saja dan bisa saja hacker mengunggah file yang berisi ransomware berbahaya bahkan bisa mencuri informasi sensitif entah itu akun perbankan maupun kredensial yang sifatnya rahasia.

"Aspek lain yang mengganggu dari kampanye ini adalah bahwa grup SolarMarker telah mengisi banyak halaman web jahat mereka dengan kata kunci yang berkaitan dengan dokumen keuangan, misalnya, laporan, kwitansi, faktur, dll.," Lanjut Hutchinson. "Grup kejahatan dunia maya akan mempertimbangkan seorang karyawan yang bekerja di departemen keuangan suatu perusahaan, atau seorang karyawan yang bekerja untuk organisasi keuangan, target bernilai tinggi."

Menurut tulisan yang di posting eSentire, malware RAT menggunakan perangkat lunak .NET dan itu semuanya memiliki kemiripan yang sama baik itu SolarMarket, Jupyter, Yellow Cockatoo dan Polazert. 

SolarMarker pertama kali diamati oleh eSentire pada awal Oktober 2020. eSentire Threat Response Unit (TRU) melacak ancaman ini sebagai SolarMarker karena file pelacakan yang diamati dijatuhkan untuk identifikasi host. Sepanjang Oktober dan November 2020, SolarMarker menggunakan docx2rtf.exe sebagai umpan untuk mengalihkan perhatian pengguna saat Microsoft .NET framework diam-diam menginstal dirinya sendiri di latar belakang.

Red Canary melaporkan SolarMarker mengubah aplikasi umpan ini selama beberapa bulan berikutnya menggunakan photodesigner7_x86-64.exe pada September 2020 dan Expert_PDF.exe pada November 2020, sementara TRU menemukan file yang diberi nama dengan docx2rtf.exe dan sekarang telah menemukan bahwa grup ini menggunakan Slim PDF Reader.


    Credit: eSentire

Jalur serangan melibatkan laman Google Sites yang dikendalikan oleh penyerang dengan tombol unduh tersemat yang disajikan dari host yang dikendalikan penyerang. Sebuah klik pada tombol mengambil muatan yang dapat dieksekusi yang menyamar sebagai PDF melalui beberapa alamat IPv6, sebagian besar menggunakan domain .tk dan .ml. Setelah membuka PDF, nantinya program akan mengeksekusi fungsionalitas Microsoft .NET framework untuk RAT sebagai .tmp. Dan terakhir malware RAT akan memanggil PowerShell dan menghubungi server perintah dan kontrol untuk melanjutkan serangan berikutnya.

    Credit: eSentire

Sebelumnya, eSentire pertama kali menemukan SolarMarker menggunakan Shopify untuk metode pengalihan pencariannya pada Oktober 2020. Dalam hal ini, infrastruktur pengalihan disematkan dalam PDF yang dihosting yang menyediakan tautan ke infrastruktur yang dikontrol oleh aktor hacker di mana RAT (dan muatan umpannya) dihosting . Pada tahun 2021, metode pengalihan dialihkan ke Google Sites.

Posting Komentar

0 Komentar