Jakarta, PCplus – Kaspersky baru-baru ini menemukan kampanye jahat baru yang menyebar lewat iklan web dan menargetkan pengguna PC Windows. Ketika kita browsing, kamu mungkin tanpa sengaja mengklik iklan yang tidak terlihat dan menutupi seluruh layar. Iklan ini membawa kita ke halaman CAPTCHA palsu atau pesan error palsu dari Chrome. San yang meminta kita mengunduh pencuri data (stealer).
Baca Juga: Kaspersky Gagalkan Hampir 5 Juta Ancaman Online
Menurut data dari Kaspersky, lebih dari 140.000 orang terkena iklan ini pada bulan September dan Oktober 2024. Dan ada lebih dari 20.000 pengguna diarahkan ke halaman palsu yang menjalankan skrip berbahaya. Para pengguna di Brasil, Spanyol, Italia, dan Rusia paling banyak menjadi target. Para ahli menyarankan agar kita selalu berhati-hati dan tidak mengikuti perintah mencurigakan saat online.
Menggunakan “kelemahan” CAPTCHA
CAPTCHA adalah fitur keamanan di situs web untuk memastikan apakah kita manusia atau bot. Awal tahun ini, ada laporan tentang penyerang yang menggunakan CAPTCHA palsu untuk menyebarkan Lumma stealer, terutama mengincar para gamer. Saat browsing di situs game, kita bisa dibujuk untuk mengklik iklan yang menutupi seluruh layar. Setelah itu, kita diarahkan ke halaman CAPTCHA palsu yang memandu kita untuk mengunduh pencuri data tersebut.
Jika kita mengklik tombol “Saya bukan robot”, perintah Windows PowerShell yang berisi kode berbahaya akan disalin ke clipboard PC kita. Kemudian, kita diminta untuk menempelkannya ke kotak terminal dan menekan Enter. Akibatnya, malware Lumma terunduh ke PC. Malware ini mencari file yang berkaitan dengan kripto, cookie, dan data pengelola kata sandi di perangkat kita. Malware ini juga mengunjungi berbagai halaman web e-commerce. Ia melakukan peningkatan jumlah tampilan, dan memberikan keuntungan finansial kepada penyerang.
Dalam serangan gelombang baru ini, peneliti Kaspersky menemukan skenario lain di mana bukannya CAPTCHA, kita akan melihat pesan error halaman web yang mirip dengan pesan layanan di Chrome. Penyerang meminta kita untuk “menyalin perbaikan” ke jendela terminal, yang sebenarnya adalah perintah PowerShell berbahaya yang sama.
Tidak cuma incar gamer
Kaspersky menemukan kalau iklan jahat baru ini tidak hanya mengincar para gamer, tapi juga kelompok lain. Dan disebarkan lewat layanan berbagi file, aplikasi web, portal taruhan, halaman konten dewasa, komunitas anime, dan saluran lainnya. Para penyerang juga menggunakan Trojan Amadey dalam serangan ini. Seperti Lumma, Trojan ini mencuri kredensial dari peramban populer dan dompet kripto, tapi juga bisa mengambil tangkapan layar, mendapatkan kredensial untuk layanan akses jarak jauh, dan mengunduh alat akses jarak jauh ke perangkat korban. Hal ini memungkinkan penyerang mendapatkan akses penuh.
“Penyerang membeli beberapa slot iklan, dan jika pengguna melihat iklan ini dan mengekliknya, mereka akan diarahkan ke sumber daya berbahaya, yang merupakan taktik serangan umum. Gelombang baru kampanye ini melibatkan jaringan distribusi yang diperluas secara signifikan dan pengenalan skenario serangan baru yang menjangkau lebih banyak korban. Sekarang pengguna dapat dibujuk oleh perintah CAPTCHA palsu atau pesan kesalahan halaman web Chrome, sehingga menjadi korban stealer dengan fungsi baru. Pengguna korporat dan individu harus berhati-hati dan berpikir kritis sebelum mengikuti perintah mencurigakan apa pun yang mereka lihat secara daring,” komentar Vasily Kolesnikov, Pakar Keamanan di Kaspersky.