Peneliti ESET mengidentifikasi kampanye malware yang menargetkan orang-orang berbahasa Mandarin di Asia Tenggara dan Timur dengan membeli iklan yang menyesatkan untuk muncul di hasil pencarian Google yang mengarah pada pengunduhan pemasang trojan. Penyerang tak dikenal membuat situs web palsu yang terlihat identik dengan aplikasi populer seperti Firefox, WhatsApp, atau Telegram, tetapi selain menyediakan perangkat lunak yang sah, juga mengirimkan FatalRAT, trojan akses jarak jauh yang memberikan kendali penyerang atas komputer korban.
Figure 1 menunjukkan peta panas dengan negara tempat kami mendeteksi serangan antara Agustus 2022 dan Januari 2023. Sebagian besar serangan memengaruhi pengguna di Taiwan, China, dan Hong Kong.
Penyerang mendaftarkan berbagai nama domain yang semuanya mengarah ke alamat IP yang sama: server yang menghosting beberapa situs web yang mengunduh perangkat lunak trojan. Beberapa situs web ini terlihat identik dengan rekan mereka yang sah tetapi malah mengirimkan penginstal berbahaya. Situs web lain, yang mungkin diterjemahkan oleh penyerang, menawarkan perangkat lunak versi bahasa China yang tidak tersedia di China, seperti Telegram, seperti yang ditunjukkan pada Gambar 3.
Penyerang telah berusaha keras terkait nama domain yang digunakan untuk situs web mereka, berusaha semirip mungkin dengan nama resmi. Situs web palsu, dalam banyak kasus, merupakan salinan identik dari situs yang sah. Adapun penginstal trojan, mereka menginstal aplikasi sebenarnya yang diminati pengguna, menghindari kecurigaan kemungkinan kompromi pada mesin korban. Untuk semua alasan ini, kami melihat betapa pentingnya untuk rajin memeriksa URL yang kami kunjungi sebelum mengunduh perangkat lunak. Lebih baik lagi, ketikkan ke bilah alamat browser Anda setelah memeriksa bahwa itu adalah situs vendor yang sebenarnya.
Karena malware yang digunakan adalah kampanye ini, FatalRAT, berisi berbagai perintah yang digunakan untuk memanipulasi data dari berbagai browser, dan viktimologi tidak berfokus pada jenis pengguna tertentu, siapa pun dapat terpengaruh. Ada kemungkinan bahwa penyerang hanya tertarik pada pencurian informasi seperti kredensial web untuk menjualnya di forum bawah tanah atau menggunakannya untuk jenis kampanye crimeware lainnya, tetapi untuk saat ini atribusi khusus dari kampanye ini ke aktor ancaman yang dikenal atau baru adalah tidak memungkinkan.
selengkapnya : welivesecurity
