Situs WordPress diretas untuk menampilkan halaman perlindungan Cloudflare DDoS palsu untuk mendistribusikan malware yang menginstal NetSupport RAT dan Trojan pencuri kata sandi RaccoonStealer.
Seperti yang dirinci dalam laporan oleh Sucuri, aktor ancaman meretas situs WordPress yang tidak terlindungi dengan baik untuk menambahkan muatan JavaScript yang sangat dikaburkan yang menampilkan layar DDoS perlindungan Cloudflare palsu.
Layar ini, yang ditunjukkan di bawah, meminta pengunjung mengklik tombol untuk melewati layar perlindungan DDoS. Namun, mengklik tombol akan mengunduh file ‘security_install.iso’ ke komputer, yang berpura-pura menjadi alat yang diperlukan untuk melewati verifikasi DDoS.
Korban kemudian disuruh membuka security_install.iso, yang mereka anggap sebagai aplikasi bernama DDOS GUARD, dan memasukkan kode yang ditampilkan.
Ketika pengguna membuka security_install.iso, mereka akan melihat file bernama security_install.exe, yang sebenarnya adalah pintasan Windows yang menjalankan perintah PowerShell dari file debug.txt.
Sumber: BleepingComputer
Pada akhirnya, ini menyebabkan serangkaian skrip berjalan yang menampilkan kode DDoS palsu yang diperlukan untuk melihat situs, serta menginstal NetSupport RAT, trojan akses jarak jauh yang digunakan secara ekstensif dalam kampanye jahat saat ini.
Selain itu, skrip akan mengunduh trojan pencuri kata sandi Raccoon Stealer dan meluncurkannya di perangkat.
Raccoon 2.0 menargetkan kata sandi, cookie, data pengisian otomatis, dan kartu kredit yang disimpan di browser web, berbagai dompet cryptocurrency, dan juga mampu melakukan eksfiltrasi file dan mengambil tangkapan layar dari desktop korban.
Admin harus memeriksa file tema situs WordPress mereka, karena menurut Sucuri, ini adalah titik infeksi paling umum dalam kampanye ini.
Selain itu, disarankan untuk menggunakan sistem pemantauan integritas file untuk menangkap injeksi JS tersebut saat terjadi dan mencegah situs Anda menjadi titik distribusi RAT.
Pengguna internet dapat melindungi diri dari ancaman semacam itu dengan mengaktifkan pengaturan pemblokiran skrip yang ketat di browser mereka, meskipun itu akan merusak fungsionalitas hampir semua situs.
Sumber: Bleeping Computer
