Pelaku ancaman memalsukan pemeriksaan bot Cloudflare DDoS dalam upaya untuk menjatuhkan Trojan akses jarak jauh (RAT) pada sistem milik pengunjung ke beberapa situs web WordPress yang sebelumnya disusupi.
Peneliti dari Sucuri baru-baru ini melihat vektor serangan baru saat menyelidiki a lonjakan serangan injeksi JavaScript yang menargetkan WordPress situs. Mereka mengamati penyerang menyuntikkan skrip ke situs WordPress yang memicu prompt palsu yang mengklaim sebagai situs yang memverifikasi apakah pengunjung situs adalah manusia atau bot DDoS.
Banyak firewall aplikasi Web (WAF) dan layanan jaringan distribusi konten secara rutin menyajikan peringatan tersebut sebagai bagian dari layanan perlindungan DDoS mereka. Sucuri mengamati JavaScript baru ini di situs WordPress yang memicu pop-up perlindungan Cloudflare DDoS palsu.
Pengguna yang mengklik prompt palsu untuk mengakses situs web berakhir dengan file .iso berbahaya yang diunduh ke sistem mereka. Mereka kemudian menerima pesan baru yang meminta mereka untuk membuka file sehingga mereka dapat menerima kode verifikasi untuk mengakses situs web. โKarena jenis pemeriksaan browser ini sangat umum di web, banyak pengguna tidak akan berpikir dua kali sebelum mengklik perintah ini untuk mengakses situs web yang mereka coba kunjungi,โ tulis Sucuri. โApa yang kebanyakan pengguna tidak sadari adalah bahwa file ini sebenarnya adalah trojan akses jarak jauh, yang saat ini ditandai oleh 13 vendor keamanan pada saat posting ini.โ
RAT berbahaya
Sucuri mengidentifikasi Trojan akses jarak jauh sebagai NetSupport RAT, alat malware yang sebelumnya digunakan oleh pelaku ransomware untuk menjejak sistem sebelum mengirimkan ransomware ke dalamnya. RAT juga telah digunakan untuk menjatuhkan Racoon Stealer, pencuri informasi terkenal yang sempat menghilang dari pandangan awal tahun ini sebelumnya. melonjak kembali pada lanskap ancaman pada bulan Juni. Racoon Stealer muncul pada tahun 2019 dan merupakan salah satu pencuri informasi paling produktif pada tahun 2021. Pelaku ancaman telah mendistribusikannya dalam berbagai cara, termasuk model malware-as-a-service dan dengan menanamnya di situs web yang menjual perangkat lunak bajakan. Dengan permintaan perlindungan Cloudflare DDoS palsu, pelaku ancaman sekarang memiliki cara baru untuk mendistribusikan malware.
โAktor ancaman, terutama saat phishing, akan menggunakan apa pun yang terlihat sah untuk menipu pengguna,โ kata John Bambenek, pemburu ancaman utama di Netenrich. Karena orang terbiasa dengan mekanisme seperti Captcha untuk mendeteksi dan memblokir bot, masuk akal bagi pelaku ancaman untuk menggunakan mekanisme yang sama untuk mencoba menipu pengguna, katanya. โIni tidak hanya dapat digunakan untuk membuat orang menginstal malware, tetapi juga dapat digunakan untuk 'pemeriksaan kredensial' untuk mencuri kredensial layanan cloud utama (seperti) Google, Microsoft, dan Facebook,โ kata Bambenek.
Pada akhirnya, operator situs web memerlukan cara untuk membedakan antara pengguna nyata dan pengguna sintetis, atau bot, catatnya. Tetapi seringkali semakin efektif alat untuk mendeteksi bot, semakin sulit bagi pengguna untuk memecahkan kode, tambah Bambenek.
Charles Conley, peneliti keamanan siber senior di nVisium, mengatakan bahwa menggunakan spoofing konten seperti yang diamati Sucuri untuk mengirimkan RAT bukanlah hal baru. Penjahat dunia maya secara rutin memalsukan aplikasi dan layanan terkait bisnis dari perusahaan seperti Microsoft, Zoom, dan DocuSign untuk mengirimkan malware dan mengelabui pengguna agar menjalankan semua jenis perangkat lunak dan tindakan yang tidak aman.
Namun, dengan serangan spoofing berbasis browser, pengaturan default pada browser seperti Chrome yang menyembunyikan URL lengkap atau sistem operasi seperti Windows yang menyembunyikan ekstensi file dapat mempersulit bahkan individu yang cerdas untuk mengetahui apa yang mereka unduh dan dari mana asalnya, kata Conley.
