Peneliti dari firma keamanan dunia maya Proofpoint baru-baru ini menemukan sebuah kampanye malware berskala besar yang mengekspos jutaan pengguna internet di Amerika Serikat, Kanada, Inggris, dan Australia untuk infeksi malware. Aktif selama lebih dari satu tahun dan masih terus berlangsung, kampanye malware tersebut dilakukan oleh kelompok hacking yang disebut KovCoreG, yang terkenal karena menyebarkan malware iklan penipuan Kovter yang digunakan sejak tahun 2015, dan yang paling baru dipergunakan pada awal tahun 2017.


Kelompok hacking KovCoreG pada awalnya memanfaatkan P0rnHub—one satu situs dewasa yang paling banyak dikunjungi di dunia, untuk mendistribusikan pembaruan browser palsu yang bekerja pada ketiga web browser utama Windows, termasuk Chrome, Firefox, dan Microsoft Edge / Internet Explorer. Menurut peneliti Proofpoint, infeksi dalam kampanye ini pertama kali muncul di halaman web P0rnHub melalui jaringan periklanan sah yang disebut Traffic Junky, yang menipu pengguna agar menginstal malware Kovtar ke sistem mereka.

Malware Kovter dikenal dengan mekanisme infeksi yang unik, yang memungkinkan malware tersebut memuat dirinya sendiri setelah setiap host melakukan reboot. Jaringan periklanan Traffic Junky mengalihkan pengguna ke situs web jahat, dengan memberikan informasi pembaruan palsu pada pengguna Chrome dan Firefox, sementara pengguna Internet Explorer dan Edge mendapatkan pembaruan Flash palsu.

"Rantai [infeksi] dimulai dengan pengalihan berbahaya yang dilakukan di avertizingms[.]Com, yang memasukkan panggilan ke host KeyCDN, jaringan pengiriman konten utama," tulis Proofpoint. Penyerang menggunakan sejumlah filter dan sidik jari "zona waktu, dimensi layar, bahasa (pengguna/browser) dan pembuatan id unik melalui Mumour," dalam upaya untuk menargetkan pengguna dan menghindari analisis.

Peneliti keamanan tersebut mengatakan pengguna Chrome terinfeksi dengan JavaScript yang dikendalikan oleh penyerang, mencegah analis keamanan bekerja melalui rantai infeksi jika IP mereka tidak "masuk". "sangat tidak mungkin JavaScript dapat dijalankan sendiri" tulis Proofpoint. "kemungkinan besar komponen rantai ini belum pernah didokumentasikan sebelumnya."
Proofpoint percaya bahwa perangkat lunak perusak tersebut dapat dengan mudah dimodifikasi untuk menyebarkan trojan atau malware lainnya. Meskipun rantai infeksi khusus ini berhasil dimatikan setelah operator situs dan jaringan iklan mendapat pemberitahuan, kampanye perangkat lunak perusak masih berlangsung di tempat lain.
 
Top