Pelaku ancaman siber diketahui menargetkan komputer dengan spesifikasi tinggi melalui kampanye cryptojacking yang masih berlangsung. Serangan ini disebarkan menggunakan teknik SEO poisoning serta manipulasi rekomendasi dari chatbot berbasis AI.
Serangan dimulai melalui halaman unduhan palsu yang menawarkan berbagai software utilitas populer yang umumnya digunakan oleh pengguna tingkat lanjut. Beberapa aplikasi yang dijadikan umpan antara lain CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack, dan PDFgear.
Setelah korban mengunduh dan menjalankan file berbahaya tersebut, penyerang memperoleh akses permanen ke perangkat dengan memanfaatkan tool remote management legal bernama ScreenConnect. Akses ini kemudian digunakan untuk memasang malware tambahan di sistem korban.
Peneliti dari Microsoft menemukan bahwa korban awalnya mencari software utilitas tersebut melalui mesin pencari. Namun, hasil pencarian telah dimanipulasi menggunakan teknik SEO poisoning sehingga pengguna diarahkan ke situs berbahaya milik penyerang.
Microsoft juga mengungkap adanya laporan pada April lalu yang menunjukkan bahwa sebagian korban diarahkan ke domain berbahaya setelah meminta rekomendasi unduhan software dari chatbot AI.
“Dalam kasus ini, pengguna yang menanyakan chatbot AI untuk rekomendasi pengunduhan perangkat lunak diberikan tautan ke domain yang dikendalikan penyerang dalam respons yang dihasilkan,” jelas Microsoft.
File berbahaya yang diunduh biasanya berbentuk arsip ZIP dan dihosting pada subdomain gleeze[.]com, sebuah domain yang sebelumnya pernah dikaitkan dengan aktivitas phishing.
Para peneliti menemukan bahwa, di dalam arsip tersebut terdapat file executable asli dari software resmi serta DLL berbahaya yang otomatis dijalankan ketika aplikasi dibuka. DLL tersebut kemudian menggunakan msiexec.exe untuk memasang vcredist_x64.dll yang berfungsi sebagai installer untuk ScreenConnect.
Setelah koneksi ScreenConnect berhasil dibuat, pelaku ancaman mengirimkan file tambahan bernama SimpleRunPE.exe. File ini menyalin dirinya sendiri menjadi RuntimeHost.exe dan menyembunyikannya dalam folder tertentu agar tidak mudah ditemukan pengguna.
Tujuan utama executable tersebut adalah membangun enam mekanisme persistensi pada berbagai lokasi autostart Windows agar malware tetap aktif meskipun sistem direstart.
Dalam beberapa skenario, malware juga dikirim melalui skrip PowerShell berbahaya dan disimpan sebagai vlc.exe guna menyamar sebagai aplikasi pemutar media VideoLAN VLC.
Berdasarkan jalur Program Database (PDB) dari SimpleRunPE.exe, peneliti menduga malware tersebut merupakan modifikasi dari repositori publik yang digunakan untuk mendemonstrasikan teknik process hollowing.
Teknik process hollowing dimanfaatkan untuk menyembunyikan aktivitas malware dengan menyusup ke dalam proses aplikasi Windows resmi yang telah ditandatangani Microsoft, seperti InstallUtil.exe, RegAsm.exe, RegSvcs.exe, MSBuild.exe, AppLaunch.exe, AddInProcess.exe, dan aspnet_compiler.exe.
Selain itu, malware juga mencoba menambahkan proses dan jalurnya ke daftar pengecualian Microsoft Defender menggunakan PowerShell agar tidak terdeteksi oleh sistem keamanan.
Malware turut memeriksa apakah berjalan di lingkungan virtual machine atau terdapat sekitar 40 proses yang berkaitan dengan tool analisis malware. Jika ditemukan, proses eksekusi akan langsung dihentikan untuk menghindari deteksi.
Setelah seluruh tahapan process hollowing selesai, malware akan mengunduh dan menjalankan salah satu dari tiga aplikasi penambang kripto, yaitu gminer, lolMiner, atau SRBMiner-MULTI. Ketiga software tersebut dirancang untuk memanfaatkan GPU dalam proses mining.
Microsoft menilai kampanye ini cukup unik karena pelaku tidak berfokus pada jumlah korban, melainkan menargetkan perangkat dengan GPU kuat guna memaksimalkan keuntungan dari aktivitas penambangan kripto.
Sebagai langkah mitigasi, Microsoft menyarankan organisasi untuk memanfaatkan perlindungan keamanan yang tersedia serta menerapkan indicators of compromise (IoC) yang telah disertakan dalam laporan penelitian mereka.
0 Comments
