Malware BumbleBee yang menargetkan korporasi didistribusikan melalui Google Ads dan menyusupi aplikasi populer seperti Zoom, Cisco AnyConnect, ChatGPT dan Citrix Workspace. Bumblebee merupakan malware loader yang ditemukan pada April 2022, diperkirakan telah dikembangkan oleh tim Conti sebagai pengganti backdoor BazarLoader dan digunakan untuk mendapatkan akses awal ke jaringan dan melakukan serangan ransomware.
Pada September 2022, versi baru malware loader diamati dan menampilkan rantai serangan yang lebih tersembunyi dengan menggunakan framwork PowerSploit untuk menginjeksikan refelctive DLL ke dalam memori.
Peneliti di Secureworks baru-baru ini menemukan metode baru melalui iklan Google (Google Ads) yang mempromosikan versi trojan dari aplikasi populer untuk mengirimkan malware loader kepada penggunanya tanpa dicurigai.
Bersembunyi di aplikasi populer
Salah satu metode yang dilihat oleh SecureWorks dimulai dengan Google Ads yang mempromosikan halaman unduhan Cisco AnyConnect Secure Mobility Client palsu yang dibuat pada 16 Februari 2023, dan dihosting di domain "appcisco[.]com".
"Rantai infeksi yang dimulai dengan Google Ads jahat yang meneruskan pengguna ke halaman unduhan palsu ini melalui situs WordPress yang disusupi," jelas laporan SecureWorks.
Webpage palsu akan memunculkan installer MSI trojan Bernama “cisco-anyconnect-4_9_0195.msi" yang akan menginstal malware BumbleBee. Setelah instalasi selesai, installer asli dan script powershell penipu (cisco.ps1) akan disalin ke computer pengguna. CiscoSetup.exe merupakan installer asli AnyConnect, akan diinstall pada perangkat untuk menghindari kecurigaan. Namun, script powershell akan menginstall malwe BumbleBee dan akan menjalankan aktovotas berbahaya pada perangkat yang terinfeksi.
Script Powershell berisi pilihan fungsi yang diubah Namanya dari script PowerSploit ReflectivePEInjection.ps1. Selain itu juga berisi payload malware BumbleBee yang dimuat secara reflektif ke memori. Artinya, BumbleBee masih menggunakan framework pasca ekploitasi yang sama untuk memuat malware kedalam memori tanpa membunyikan peringatan dari produk antivirus apapun.
Secure works menemukan software lain dengan pasangan nama yang mirip seperti ZoomInstaller.exe dan zoom.ps1, ChatGPT.msi dan chch.ps1 dan CitrixWorskpaceApp.exe dan citrix.ps1.
Bagian menuju Ransomware
Perangkat yang terinfeksi akan menjadi kandidat awal ransomware. Pelaku memanfaatkan akses kedalam sistem yang disusupi untuk bergerak secara lateral kedalam jaringan sekitar 3 (tiga) jam setelah infeksi awal.
Langkah Pengamanan
Sobat Kami dapat melakukan langkah berikut untuk menghindari dampak dari Google Ads Pop-Ups
Sobat Kami dapat melakukan langkah berikut untuk menghindari dampak dari Google Ads Pop-Ups
- Blok pop-ups pada browser yang kamu gunakan melalui menu pengaturan
- Pastikan browser yang kamu gunakan adalah versi terkini (up to date)
- Lakukan pemindaian malware pada perangkat yang kamu gunakan
- Disable extensions melalui menu pengaturan pada browser
- Block cookies pihak ketiga (third party cookies)
- Bersihkan cache browser
Jika Sobat Kami masih melihat pop-up pada halaman web setelah melakukan langkah tersebut, mungkin iklan web dibuat agar terlihat seperti pop-up. Iklan web tidak dapat diblokir oleh pemblokir pada browser tertentu. Browser juga tidak dapat mencegah pop-up terbuka jika Sobat Kami memilih tombol atau tautan pada halaman web.