Dunia keamanan siber terus menghadapi tantangan yang semakin kompleks dengan seringnya muncul taktik baru yang digunakan oleh peretas. Salah satu metode yang kini menjadi sorotan adalah teknik "copy-paste" yang cerdik, di mana peretas memanfaatkan kesalahan pengguna untuk menyebarkan malware. Peneliti Proofpoint yang mengungkapkan bagaimana peretas menggunakan pesan kesalahan palsu pada browser Chrome untuk menipu korban mereka.
.
Menurut laporan yang diterbitkan oleh Cybernews, peretas kini menggunakan pesan kesalahan yang muncul pada browser Chrome, yang memberikan instruksi sederhana untuk "menginstal sertifikat root". Namun, alih-alih memperbaiki masalah, instruksi tersebut justru mengarahkan pengguna untuk menginstal infostealer atau malware lainnya. Serangan rekayasa sosial yang unik ini semakin populer, di mana peretas membuat pengguna secara tidak langsung merusak sistem mereka sendiri.
.
Peretas mengirimkan pesan kesalahan melalui email atau situs web, yang mengharuskan pengguna untuk menerapkan perbaikan dengan menyalin command dan menempelkannya ke terminal Windows PowerShell. Pada kenyataannya, pengguna menjalankan script berbahaya yang menginfeksi komputer mereka dengan malware. Para peneliti menjelaskan bahwa pengguna ditunjukkan popup textbox yang memeberitahu bahwa telah terjadi kesalahan saat mencoba membuka dokumen atau halaman web dan instruksi disediakan langsung dalam popup tersebut untuk menyalin dan menempelkan script berbahaya ke terminal PowerShell atau program Run Windows untuk akhirnya menjalankan script melalui PowerShell.
.
Peretas yang diberi label TA571 dan lainnya terlihat menyebarkan malware seperti DarkGate, Matanbuchus, NetSupport, dan berbagai pencuri informasi lainnya. Serangan ini biasanya dimulai melalui serangan spam atau injeksi browser web. Meskipun tahapan dalam serangan ini memerlukan interaksi pengguna yang signifikan untuk berhasil, rekayasa sosialnya cukup cerdik untuk menyajikan seseorang dengan apa yang tampak seperti masalah dan solusi yang nyata secara bersamaan, yang mungkin mendorong pengguna untuk mengambil tindakan tanpa mempertimbangkan risiko.
.
Ketika dijalankan, script akan melakukan berbagai fungsi seperti mengosongkan cache DNS, menghapus konten clipboard, dan menampilkan pesan umpan balik ke pengguna sambil mengunduh script PowerShell jarak jauh lainnya untuk dieksekusi. Script kedua adalah downloader untuk script lain yang memiliki fungsu untuk memeriksa apakah mesin yang di retas bukan mesin virtual dan kemudian akan melanjutkan ke script keempat untuk mengunduh dan menjalankan malware sebenarnya. Lumma Stealer adalah payload yang sering digunakan yang menargetkan wallet kripto. Malware ini mencuri dan mengekstrak informasi pengguna dan token sesi. Penyerang diamati menggunakan Lumma Stealer untuk mengunduh payload berbahaya lainnya yang digunakan untuk menambang dan mencuri cryptocurrency dan melakukan tugas jahat lainnya.
.
Proofpoint menyarankan organisasi untuk melatih pengguna untuk mengidentifikasi dan melaporkan aktivitas mencurigakan. Dengan meningkatnya kreativitas dalam rantai serangan yang digunakan oleh aktor ancaman siber, penting bagi individu dan organisasi untuk tetap waspada dan mendidik diri mereka sendiri tentang praktik terbaik dalam keamanan siber.
sumber
.
Menurut laporan yang diterbitkan oleh Cybernews, peretas kini menggunakan pesan kesalahan yang muncul pada browser Chrome, yang memberikan instruksi sederhana untuk "menginstal sertifikat root". Namun, alih-alih memperbaiki masalah, instruksi tersebut justru mengarahkan pengguna untuk menginstal infostealer atau malware lainnya. Serangan rekayasa sosial yang unik ini semakin populer, di mana peretas membuat pengguna secara tidak langsung merusak sistem mereka sendiri.
.
Peretas mengirimkan pesan kesalahan melalui email atau situs web, yang mengharuskan pengguna untuk menerapkan perbaikan dengan menyalin command dan menempelkannya ke terminal Windows PowerShell. Pada kenyataannya, pengguna menjalankan script berbahaya yang menginfeksi komputer mereka dengan malware. Para peneliti menjelaskan bahwa pengguna ditunjukkan popup textbox yang memeberitahu bahwa telah terjadi kesalahan saat mencoba membuka dokumen atau halaman web dan instruksi disediakan langsung dalam popup tersebut untuk menyalin dan menempelkan script berbahaya ke terminal PowerShell atau program Run Windows untuk akhirnya menjalankan script melalui PowerShell.
.
Peretas yang diberi label TA571 dan lainnya terlihat menyebarkan malware seperti DarkGate, Matanbuchus, NetSupport, dan berbagai pencuri informasi lainnya. Serangan ini biasanya dimulai melalui serangan spam atau injeksi browser web. Meskipun tahapan dalam serangan ini memerlukan interaksi pengguna yang signifikan untuk berhasil, rekayasa sosialnya cukup cerdik untuk menyajikan seseorang dengan apa yang tampak seperti masalah dan solusi yang nyata secara bersamaan, yang mungkin mendorong pengguna untuk mengambil tindakan tanpa mempertimbangkan risiko.
.
Ketika dijalankan, script akan melakukan berbagai fungsi seperti mengosongkan cache DNS, menghapus konten clipboard, dan menampilkan pesan umpan balik ke pengguna sambil mengunduh script PowerShell jarak jauh lainnya untuk dieksekusi. Script kedua adalah downloader untuk script lain yang memiliki fungsu untuk memeriksa apakah mesin yang di retas bukan mesin virtual dan kemudian akan melanjutkan ke script keempat untuk mengunduh dan menjalankan malware sebenarnya. Lumma Stealer adalah payload yang sering digunakan yang menargetkan wallet kripto. Malware ini mencuri dan mengekstrak informasi pengguna dan token sesi. Penyerang diamati menggunakan Lumma Stealer untuk mengunduh payload berbahaya lainnya yang digunakan untuk menambang dan mencuri cryptocurrency dan melakukan tugas jahat lainnya.
.
Proofpoint menyarankan organisasi untuk melatih pengguna untuk mengidentifikasi dan melaporkan aktivitas mencurigakan. Dengan meningkatnya kreativitas dalam rantai serangan yang digunakan oleh aktor ancaman siber, penting bagi individu dan organisasi untuk tetap waspada dan mendidik diri mereka sendiri tentang praktik terbaik dalam keamanan siber.
sumber