Kampanye keracunan SEO baru sedang berlangsung, menjatuhkan malware Batloader dan Atera Agent ke sistem profesional yang ditargetkan yang mencari unduhan alat produktivitas, seperti Zoom, TeamViewer, dan Visual Studio.
Kampanye ini bergantung pada kompromi situs web yang sah untuk menanam file berbahaya atau URL yang mengarahkan pengguna ke situs yang meng-host malware yang disamarkan sebagai aplikasi populer.
Setelah mengunduh dan mengeksekusi penginstal perangkat lunak, para korban tanpa sadar menginfeksi diri mereka sendiri dengan malware dan perangkat lunak akses jarak jauh.
Hasil pencarian keracunan
Sebagai bagian dari kampanye ini, aktor ancaman melakukan teknik optimisasi mesin pencari (SEO) ke situs yang dikompromikan secara sah ke dalam hasil pencarian untuk aplikasi populer.
Kata kunci yang ditargetkan adalah untuk aplikasi populer seperti Zoom, Microsoft Visual Studio 2015, TeamViewer, dan lainnya.
Ketika pengguna mengklik tautan mesin pencari, mereka akan dibawa ke situs yang dikompromikan yang mencakup Sistem Arah Lalu Lintas (TDS). Sistem Arah Lalu Lintas adalah skrip yang memeriksa berbagai atribut pengunjung dan menggunakan informasi itu untuk memutuskan apakah mereka harus ditampilkan halaman web yang sah atau diarahkan ke situs berbahaya lain di bawah kendali penyerang.
Dalam kampanye serupa di masa lalu, TDS hanya akan mengarahkan pengunjung jika mereka berasal dari hasil mesin pencari. Jika tidak, TDS akan menunjukkan kepada pengunjung posting blog yang normal dan sah.
Teknik ini membantu mencegah analisis oleh peneliti keamanan karena hanya akan menunjukkan perilaku jahat kepada mereka yang tiba dari mesin pencari.
Jika pengunjung diarahkan, situs berbahaya akan menunjukkan kepada mereka diskusi forum palsu di mana pengguna bertanya bagaimana mendapatkan aplikasi tertentu, dan pengguna palsu lainnya menyediakan tautan unduhan, seperti yang ditunjukkan di bawah ini.
Mengklik tautan unduhan akan menyebabkan situs membuat penginstal malware kemasan menggunakan nama aplikasi yang dicari. Karena paket malware termasuk perangkat lunak yang sah, banyak pengguna tidak akan menyadari bahwa mereka juga telah terinfeksi malware.
Beberapa domain berbahaya yang ditemukan oleh peneliti Mandiant yang digunakan dalam kampanye ini adalah:
- cmdadminu[.] Com
- zoomvideo-s[.] Com
- cloudfiletehnology[.] Com
- commandaadmin[.] Com
- awan222[.] Com
- websekir[.] Com
- tim-viewer[.] site
- zoomvideo[.] site
- sweepcakesoffers[.] Com
- pornofilmspremium[.] Com
- kdsjdsadas[.] online
- bartmaaz[.] Com
- firsone1[.] online
Selengkapnya: Bleepingcomputer
