Patrolmedia -:- 2 situs video bajakan dengan sengaja menyebarkan malware melalui tayangan iklan.
Dari penyebaran itu, setidaknya 1 juta perangkat telah terkena serangan malware tersebut.
“Kampanye periklanan jahat tersebut “berdampak pada hampir satu juta perangkat di seluruh dunia dalam serangan oportunistik untuk mencuri informasi,” kata tim keamanan Microsoft dalam laporannya, Kamis (6/3/25), seperti dikutip PCMac.
Perusahaan melacak infeksi tersebut ke 2 domain video yakni movies7[.]net dan 0123movie[.]art.
Iklan di 2 situs video bajakan tersebut mengarahkan pengguna ke situs penipuan dukungan teknis, kemudian mengarahkan pengguna ke halaman di Discord, Dropbox, dan GitHub yang menjadi host malware tersebut.
Microsoft menemukan kampanye ‘malvertising’ yang menargetkan perangkat konsumen dan perusahaan.
Microsoft belum menjelaskan lebih lanjut seperti apa situs penipuan tersebut. Namun, kemungkinan besar mereka mendorong pengguna untuk mengunduh program yang diam-diam merupakan malware.
Mereka mampu mencuri informasi sistem atau bahkan mengambil alih komputer pengguna dari jarak jauh.
Serangan itu juga mencoba menyembunyikan sifat jahatnya dengan menggunakan sertifikat perangkat lunak yang ditandatangani sambil mengirimkan beberapa file sah melalui muatan awal.
“Pada pertengahan Januari 2025, muatan tahap pertama yang ditemukan ditandatangani secara digital dengan sertifikat yang baru dibuat. Sebanyak dua belas sertifikat berbeda diidentifikasi, yang semuanya telah dicabut,” tulis Microsoft.
Serangan itu dirancang untuk mengirimkan muatan tahap kedua yang dapat mengumpulkan informasi PC dan mengirimkannya kembali ke server peretas.
Muatan itu juga dapat memasang malware tambahan ke komputer, yang memungkinkan peretas untuk memata-matai “aktivitas penjelajahan dan berinteraksi dengan contoh peramban yang aktif,” termasuk untuk Firefox, Chrome, dan Edge, kata Microsoft.
Perusahaan pertama kali mendeteksi serangan tersebut pada awal Desember.
“Serangan tersebut berdampak pada berbagai organisasi dan industri, termasuk perangkat konsumen dan perusahaan, yang menyoroti sifat serangan yang tidak pandang bulu,” demikian disampaikan Microsoft.
Setelah pengalihan ke GitHub terjadi, malware yang dihosting di GitHub membangun pijakan awal pada perangkat pengguna dan berfungsi sebagai dropper untuk tahapan payload tambahan dan menjalankan kode berbahaya.
Payload tambahan tersebut mencakup pencuri informasi untuk mengumpulkan informasi sistem dan browser pada perangkat yang disusupi, yang sebagian besar adalah pencuri Lumma atau versi terbaru dari Doenerium.
Editor: M. Ichsan
