Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for google ads

google ads

Phishing Kredensial Cloud | Login AWS Target Google Ads Berbahaya

by

Periklanan adalah bagian integral dari ekonomi digital modern, memberikan bisnis peluang untuk menjangkau audiens yang besar dan beragam. Namun, pelaku jahat memanfaatkan keberadaan iklan online di mana-mana untuk menyebarkan malware, penipuan phishing, dan bentuk konten berbahaya lainnya. Dalam beberapa minggu terakhir, Google Ads, salah satu platform periklanan online terbesar, telah menjadi sasaran populer untuk jenis serangan ini.

Dalam analisis ini, kami memeriksa Google Ads berbahaya baru-baru ini yang menargetkan login Amazon Web Services (AWS) melalui situs web phishing kredensial palsu.

Iklan jahat yang kami amati terjadi pada tanggal 30 dan 31 Januari 2023. Iklan ini paling mudah diidentifikasi dengan mencari “aws” di Google. Awalnya, domain phishing adalah iklan itu sendiri; namun, penyerang kemudian beralih ke iklan proxy melalui situs web blogspot.com. Seperti yang ditunjukkan gambar di bawah, penyerang memanfaatkan us1-eat-a-w-s.blogspot[.]com sebagai tujuan untuk iklan jahat. Ini mungkin merupakan upaya untuk menghindari deteksi otomatis oleh Google terhadap konten tujuan iklan yang mencurigakan.

Google Malvertising AWS Phishing Ad

Konten situs web us1-eat-a-w-s.blogspot[.]com adalah salinan dari blog makanan vegan yang sah. Namun, halaman memuat domain kedua, aws1-console-login[.]us/login, melalui tindakan HTML window.location.replace. Perhatikan, halaman blogger ditutup kurang dari sehari setelah pembuatannya.

AWS Login Page Palsu – Email
AWS Login Page Palsu – Password

Setelah pengguna memasukkan kredensial mereka, halaman terakhir zconfig01.php dimuat. Ini berisi satu baris kode untuk mengarahkan korban ke halaman login AWS yang sah.

Proliferasi Google Ads berbahaya yang mengarah ke situs web phishing AWS merupakan ancaman serius tidak hanya bagi pengguna biasa, tetapi juga administrator jaringan dan cloud. Kemudahan peluncuran serangan ini, dikombinasikan dengan audiens yang besar dan beragam yang dapat dijangkau Google Ads, menjadikannya ancaman yang sangat kuat.

selengkapnya : SentinelOne

Berhati-hati Sebelum Menggunakan Google Untuk Mengunduh Perangkat Lunak

by

Lonjakan tersebut berasal dari berbagai keluarga malware, termasuk AuroraStealer, IcedID, Meta Stealer, RedLine Stealer, Vidar, Formbook, dan XLoader. Di masa lalu, keluarga ini biasanya mengandalkan phishing dan spam jahat yang melampirkan dokumen Microsoft Word dengan makro jebakan. Selama sebulan terakhir, Google Ads telah menjadi tempat tujuan bagi penjahat untuk menyebarkan perangkat berbahaya mereka yang disamarkan sebagai unduhan yang sah dengan menyamar sebagai merek seperti Adobe Reader, Gimp, Microsoft Teams, OBS, Slack, Tor, dan Thunderbird.

Loader MalVirt menggunakan virtualisasi yang disamarkan untuk menghindari perlindungan dan analisis titik akhir. Untuk menyamarkan lalu lintas C2 yang sebenarnya dan menghindari deteksi jaringan, suar MalVirt untuk memikat perintah dan mengontrol server yang dihosting di penyedia termasuk Azure, Tucows, Choopa, dan Namecheap. Peneliti Sentinel One Tom Hegel menulis:

Malware dari keluarga Formbook adalah infostealer berkemampuan tinggi yang digunakan melalui penerapan sejumlah besar teknik anti-analisis dan anti-deteksi oleh loader MalVirt. Secara tradisional didistribusikan sebagai lampiran email phishing, kami menilai bahwa pelaku ancaman yang menyebarkan malware ini kemungkinan besar bergabung dengan tren maliklan.

Mengingat ukuran audiens yang sangat besar yang dapat dijangkau pelaku ancaman melalui malvertising, kami memperkirakan malware akan terus didistribusikan menggunakan metode ini.

Pelaku jahat sering menggunakan tindakan canggih untuk menyembunyikan identitas mereka dan menghindari kebijakan dan penegakan kita. Untuk mengatasi hal ini selama beberapa tahun terakhir, kami telah meluncurkan kebijakan sertifikasi baru, meningkatkan verifikasi pengiklan, dan meningkatkan kapasitas kami untuk mendeteksi dan mencegah penipuan terkoordinasi.

selengkapnya : arstechnica

Iklan Google Mendorong Malware ‘Tervirtualisasi’ yang Dibuat Untuk Penghindaran Antivirus

by

KoiVM adalah plugin untuk pelindung ConfuserEx .NET yang mengaburkan opcode program sehingga mesin virtual hanya memahaminya. Kemudian, saat diluncurkan, mesin virtual menerjemahkan opcode kembali ke bentuk aslinya sehingga aplikasi dapat dijalankan.

“Kerangka kerja virtualisasi seperti KoiVM mengaburkan executable dengan mengganti kode asli, seperti instruksi NET Common Intermediate Language (CIL), dengan kode virtualisasi yang hanya dipahami oleh kerangka kerja virtualisasi,” jelas laporan baru oleh SentinelLabs.

Menyalahgunakan iklan pencarian Google
Selama sebulan terakhir, para peneliti telah melihat peningkatan penyalahgunaan iklan pencarian Google untuk mendistribusikan berbagai malware, termasuk RedLine Stealer, Gozi/Ursnif, Vidar, pencuri Rhadamanthys, IcedID, Raccoon Stealer, dan banyak lagi.

Dalam kampanye yang sedang berlangsung yang dilihat oleh SentinelLabs, pelaku ancaman mendorong pemuat MalVirt dalam iklan yang berpura-pura untuk perangkat lunak Blender 3D.

Malicious Google Search results (Sentinel Labs)

Download yang ditawarkan oleh situs palsu ini menggunakan tanda tangan digital tidak valid yang meniru identitas Microsoft, Acer, DigiCert, Sectigo, dan AVG Technologies USA.

SentinelLabs says that in the samples it analyzed, it saw Formbook communicating with 17 domains, only one of which was the actual C2 server, and the rest serving as mere decoys to confuse network traffic monitoring tools.

Menggunakan banyak IP palsu dalam komunikasi malware (Sentinel Labs)

Ini adalah sistem baru pada jenis malware yang cukup lama, menunjukkan bahwa operatornya tertarik untuk memberdayakan dengan fitur-fitur baru yang akan membuatnya lebih baik untuk tetap tersembunyi dari alat keamanan dan analis

sumber : bleepingcomputer

Password Vault Bitwarden Ditargetkan Dalam Serangan Phishing Google Ads

by

Bitwarden dan password manager lainnya manjadi sasaran dalam kampanye phishing iklan Google untuk mencuri kredensial brankas kata sandi pengguna.

Saat perusahaan dan konsumen beralih menggunakan kata sandi unik di setiap situs, penting untuk menggunakan pengelola kata sandi untuk melacak semua kata sandi.

Namun, kecuali anda menggunakan pengelola kata sandi lokal, seperti KeePass, sebagian besar pengelola kata sandi ebrbasis cloud memungkinkan pengguna untuk mengakses kata sandi mereka melalui situs web dan aplikasi seluler.

Pengguna bitwarden yang ditargetkan oleh phishing iklan Google
Domain yang digunakan dalam iklan adalah ‘appbitwarden.com’ dan, saat diklik, mengarahkan pengguna ke situs ‘bitwardenlogin.com.’

Situs phishing Bitwarden dipromosikan melalui iklan Google
Sumber: Reddit

Halaman di ‘bitwardenlogin.com’ adalah replika persis dari halaman login Bitwarden Web Vault yang sah, seperti yang terlihat di bawah ini.

Bitwarden phishing page
Source: BleepingComputer

Dalam pengujian kami, halaman phishing akan menerima kredensial dan, setelah dikirimkan, mengarahkan pengguna ke halaman login Bitwarden yang sah.

Namun, pengujian awal kami menggunakan kredensial palsu, dan halaman ditutup saat kami mulai menguji dengan kredensial login pengujian Bitwarden yang sebenarnya.

Oleh karena itu, kami tidak dapat melihat apakah halaman phishing juga akan mencoba mencuri cookie sesi yang didukung MFA (token autentikasi) seperti banyak halaman phishing tingkat lanjut.

Melindungi brankas kata sandi Anda
Dalam hal melindungi brankas kata sandi Anda dari serangan phishing, garis pertahanan pertama selalu mengonfirmasi bahwa Anda memasukkan kredensial di situs web yang benar.

Namun, jika Anda salah memasukkan kredensial di situs phishing, Anda harus selalu mengonfigurasi autentikasi multifaktor dengan pengelola kata sandi.

Serangan phishing AiTM adalah saat pelaku ancaman menggunakan perangkat khusus seperti Evilginx2, Modlishka, dan Muraena untuk membuat halaman arahan phishing yang mewakili formulir masuk yang sah di layanan yang ditargetkan.

Dengan menggunakan metode ini, pengunjung halaman phishing akan melihat formulir masuk layanan yang sah, seperti Microsoft 365. Saat mereka memasukkan kredensial dan kode verifikasi MFA, informasi ini juga diteruskan ke situs yang sebenarnya.

Namun, begitu pengguna masuk dan situs yang sah mengirimkan cookie sesi yang didukung MFA, perangkat phishing dapat mencuri token ini untuk digunakan nanti.

phishing attack flow
The flow of an AiTM phishing attack
Source: BleepingComputer

Sayangnya, hal ini membawa kita kembali ke garis pertahanan pertama — pastikan Anda hanya memasukkan kredensial Anda di situs web atau aplikasi seluler yang sah.

selengkapnya : bleepingcomputer

Peretas Menyalahgunakan Google Ads Untuk Menyebarkan Malware Dalam Perangkat Lunak Resmi

by

Operator malware semakin sering menyalahgunakan platform Google Ads untuk menyebarkan malware ke pengguna yang tidak menaruh curiga yang menelusuri produk software populer.

Produk yang ditiru dalam kampanye ini termasuk Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird, dan Brave.

Pelaku ancaman mengkloning situs web resmi dari proyek di atas dan mendistribusikan versi trojan dari perangkat lunak saat pengguna mengklik tombol unduh. Situs web berbahaya tersebut dipromosikan ke audiens melalui kampanye Google Ads.

Penyalahgunaan Google Ads
Google Ads membantu pengiklan mempromosikan halaman di Google Search. Pengguna yang mencari perangkat lunak resmi tanpa pemblokir iklan aktif akan melihat promosi yang disajikan dan cenderung mengkliknya tanpa berpikir panjang karena tampilan yang sangat mirip dengan hasil pencarian yang sebenarnya.

Menurut Guardio dan Trend Micro, triknya adalah mengarahkan korban yang mengklik iklan ke situs yang tidak relevan namun aman yang dibuat oleh pelaku ancaman, lalu mengarahkan mereka ke situs berbahaya yang meniru proyek perangkat lunak.

Situs landing dan tipuan yang digunakan dalam kampanye (Guardio Labs)

Muatan, yang datang dalam bentuk ZIP atau MSI, diunduh dari layanan file sharing dan hosting kode terkemuka untuk memastikan bahwa program anti-virus apa pun yang berjalan di mesin korban tidak akan menolak pengunduhan.

Aliran infeksi malware (Guardio Labs)

Hindari Unduhan Berbahaya
FBI baru-baru ini mengeluarkan peringatan tentang jenis kampanye iklan ini, mendesak pengguna internet untuk sangat berhati-hati.

Salah satu cara memblokir kampanye ini adalah tindakan pencegahan dengan mengaktifkan pemblokir iklan di browser web, yang memfilter hasil yang dipromosikan dari Google Penelusuran.

Pencegahan bisa juga dilakukan dengan scroll ke bawah hingga terlihat domain resmi dari proyek perangkat lunak yang dicari. Jika tidak yakin, domain resmi terdaftar di halaman Wikipedia perangkat lunak.

Tanda file mencurigakan lainnya adalah ukuran file yang tidak normal. Bukti lain yang jelas dari kecurangan adalah domain situs unduhan yang mungkin mirip dengan yang resmi tetapi telah menukar karakter dalam nama atau satu huruf yang salah, yang dikenal sebagai “typosquatting”.

Selengkapnya: BLEEPINGCOMPUTER

Microsoft Memperingatkan Peretas Menggunakan Iklan Google untuk Mendistribusikan Royal Ransomware

by

Kluster aktivitas ancaman yang sedang berkembang telah ditemukan menggunakan Google Ads di salah satu kampanyenya untuk mendistribusikan berbagai muatan pasca-kompromi, termasuk ransomware Royal yang baru ditemukan.

Microsoft, yang melihat metode pengiriman malware yang diperbarui pada akhir Oktober 2022, melacak grup tersebut dengan nama DEV-0569.

Pelaku ancaman diketahui mengandalkan malvertising untuk mengarahkan korban yang tidak menaruh curiga ke tautan pengunduh malware yang berperan sebagai penginstal perangkat lunak untuk aplikasi yang sah seperti Adobe Flash Player, AnyDesk, LogMeIn, Microsoft Teams, dan Zoom.

Pengunduh malware, jenis yang disebut BATLOADER, adalah penetes yang berfungsi sebagai saluran untuk mendistribusikan muatan tahap berikutnya. Telah diamati untuk berbagi tumpang tindih dengan malware lain yang disebut ZLoader.

Analisis BATLOADER baru-baru ini oleh eSentire dan VMware menyebut siluman dan kegigihan malware, selain penggunaan peracunan optimisasi mesin pencari (SEO) untuk memikat pengguna mengunduh malware dari situs web yang disusupi atau domain yang dibuat penyerang.

Alternatifnya, tautan phishing dibagikan melalui email spam, halaman forum palsu, komentar blog, dan bahkan formulir kontak yang ada di situs web organisasi yang ditargetkan.

Penggunaan Google Ads untuk mengirimkan BATLOADER secara selektif menandai diversifikasi vektor distribusi DEV-0569, memungkinkannya menjangkau lebih banyak target dan mengirimkan muatan malware, kata perusahaan tersebut.

Memposisikan grup untuk berfungsi sebagai broker akses awal untuk operasi ransomware lainnya, bergabung dengan malware seperti Emotet, IcedID, Qakbot.

“Karena skema phishing DEV-0569 menyalahgunakan layanan yang sah, organisasi juga dapat memanfaatkan aturan aliran email untuk menangkap kata kunci yang mencurigakan atau meninjau pengecualian yang luas, seperti yang terkait dengan rentang IP dan daftar izin tingkat domain,” kata Microsoft.

Sumber : the hacker news

Google ads ‘YouTube’ yang terlihat meyakinkan membawa pengunjung ke penipuan Windows support

by

Iklan Google Penelusuran YouTube yang tampak realistis mengarahkan pengunjung ke penipuan tech support yang berpura-pura menjadi peringatan keamanan dari Windows Defender.

Hari ini, perusahaan keamanan siber Malwarebytes mengungkapkan bahwa mereka menemukan kampanye malvertising “besar” yang menyalahgunakan iklan Google.

Saat mencari kata kunci terkait “YouTube”, iklan pertama yang ditampilkan di hasil pencarian berjudul, ‘YouTube – Video YouTube Terbaik’ atau ‘YouTube.com – YouTube – Video YouTube Terbaik untuk Anda.’

Dilihat dari iklannya, tidak ada yang terlihat mencurigakan, karena berisi URL youtube.com yang benar dan juga menampilkan elemen iklan tambahan di bawah iklan, seperti yang ditunjukkan di bawah ini.

Iklan YouTube palsu di hasil pencarian Google
Sumber: BleepingComputer

Namun, mengklik iklan tidak akan membawa Anda ke YouTube melainkan ke penipuan dukungan teknis yang berpura-pura menjadi peringatan keamanan dari Windows Defender.

Dari tes yang dilakukan oleh BleepingComputer, penipuan dukungan teknis terletak di URL http://matkir[.]ml dan http://159.223.199[.]181/ dan memperingatkan pengunjung bahwa ‘Windows diblokir karena aktivitas yang meragukan’ dan bahwa Windows Defender mendeteksi Trojan Spyware bernama ‘Ads.financetrack(2).dll.’

Penipuan Dukungan Teknis ditunjukkan oleh iklan Google untuk Youtube
Sumber: BleepingComputer

Bagi mereka yang menggunakan VPN, kabar baiknya adalah situs scam akan memeriksa apakah Anda menjalankan VPN dan, jika demikian, mengarahkan pengguna ke situs YouTube yang sah.

Dalam kebanyakan kasus, scammers akan mengunci komputer Anda entah bagaimana atau memberi tahu Anda bahwa komputer Anda terinfeksi dan Anda perlu membeli lisensi dukungan. Either way mengarah ke kontrak dukungan mahal yang tidak memberikan manfaat bagi korban.

Kampanye malvertising masih berjalan di Google Penelusuran saat ini seperti yang ditunjukkan oleh tweet dari Malwarebytes.

Apa yang membuat kampanye malvertising ini begitu menakutkan adalah karena menunjukkan bahwa pelaku ancaman dapat membuat iklan yang meniru perusahaan untuk mendistribusikan malware, halaman phishing, atau jenis serangan lainnya.

Sumber: Bleeping Computer

Penipu mencuri lebih dari $500.000 menggunakan Google Ads untuk dompet kripto palsu

by

Analis keamanan di Check Point Research melaporkan bahwa scammers telah menipu lebih dari $500.000 dalam cryptocurrency hanya dalam beberapa hari selama akhir pekan.

Scammer merancang Google Ads agar terlihat layaknya situs web dompet resmi seperti Phantom App atau MetaMask. Para peneliti bahkan melihat penipuan yang meniru pertukaran crypto seperti Pancake Swap. Karena ini adalah iklan, mereka muncul di atas hasil pencarian yang sebenarnya, jadi mereka adalah hal pertama yang dilihat korban dan sangat meyakinkan dalam penampilan.

Mengklik iklan akan membawa pengguna ke laman web yang dirancang seperti situs web resmi. Pengguna diminta untuk masuk kemudian mereka mencuri kredensial untuk digunakan scammer nanti. Apa yang lebih berbahaya adalah korban disajikan dengan frasa sandi ke akun yang dikontrol penyerang saat membuat dompet baru. Dengan kata lain, titipan langsung masuk ke tangan pelaku tanpa harus berbuat apa-apa.

Sementara hasil pencarian dan halaman web mungkin terlihat cukup asli, URL memberikan penipuan. Misalnya, CPR mengatakan melihat beberapa varian untuk domain phantom.app, termasuk phanton.app, phantonn.app, dan bahkan phantonn.pw. URL jelas salah, tetapi beberapa orang mungkin tidak menyadarinya.

“Dalam hitungan hari, kami menyaksikan pencurian kripto senilai ratusan ribu dolar,” kata Kepala Riset Kerentanan Produk Check Point, Oded Vanunu. “Kami memperkirakan bahwa cyrpto senilai lebih dari $500 ribu telah dicuri akhir pekan lalu saja. Saya yakin kita sedang menghadapi tren kejahatan dunia maya baru, di mana scammer akan menggunakan Google Penelusuran sebagai vektor serangan utama untuk mencapai dompet kripto, alih-alih secara tradisional phishing melalui email.”

Beberapa grup scammer telah mengajukan bid dengan Google Ads untuk kata kunci yang terkait dengan cryptocurrency. Check Point yakin ini menunjukkan bahwa metode tersebut telah terbukti cukup efektif untuk investasi lebih lanjut.

Kuncinya di sini adalah sangat berhati-hati dan waspada ketika berhadapan dengan dompet kripto. Scammers sudah menempatkan iklan palsu untuk lembaga perbankan tradisional seperti Wells Fargo, jadi mengapa tidak untuk crypto.

Lewati Google Ads di hasil pencarian Anda. Gunakan pemblokir iklan seperti AdGuard atau gulir ke bawah ke tempat hasil sebenarnya dimulai. Perhatikan URL-nya, dan pastikan URL tersebut tidak dibuat dengan kesalahan ejaan yang cerdik seperti phantum.app, dan ketahui ekstensi Anda. Domain MetaMask adalah metamask.io. Pergi ke hasil seperti metamask.com kemungkinan akan membawa Anda ke scam.

Selengkapnya : Tech Spot