Kampanye ClickFix Memperluas Pengiriman Malware dengan Loader Baru dan Umpan Pembaruan Palsu

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Peneliti keamanan siber telah menandai beberapa kampanye ClickFix yang mengirimkan tiga pemuat malware yang disebut BabaDeda Loader, Lorem Ipsum Loader, dan Potemkin, menurut…

Peneliti keamanan siber telah menandai beberapa kampanye ClickFix yang mengirimkan tiga pemuat malware yang disebut BabaDeda Loader, Lorem Ipsum Loader, dan Potemkin, menurut laporan independen dari Morphisec, BlueVoyant, dan Huntress.

“Aktivitas BabaDeda sebelumnya dikenal karena menyembunyikan muatan berbahaya di dalam paket penginstal yang tampak sah,” kata peneliti Morphisec Shmuel Uzan. “Kerangka kerja baru ini mempertahankan genom kode yang sama namun mengembangkannya menjadi loader yang jauh lebih mumpuni yang dibangun untuk fleksibilitas siluman, penghindaran, dan muatan.”

“Paket aplikasi yang terlihat tampak sah, sementara muatan berbahaya tetap tersembunyi di dalam wadah yang disimpan secara eksternal dan didekodekan hanya beberapa saat sebelum eksekusi,” kata Morphisec. “Desain ini meminimalkan visibilitas forensik, memperumit analisis otomatis, dan mengurangi peluang bagi alat keamanan tradisional untuk mengidentifikasi aktivitas berbahaya sebelum eksekusi terjadi.”

Teknik Klik Perbaiki juga telah diamati dalam kampanye aktif yang menggunakan setidaknya lima situs WordPress yang disusupi sebagai titik awal untuk menghadirkan pemuat yang baru lahir, dan pintu belakang dengan nama kode Lorem Ipsum Loader. Situs web yang diretas mencakup berbagai sektor, termasuk arsitektur, layanan hukum, dan teknologi konstruksi.

Urutan serangan yang mendistribusikan Lorem Ipsum Loader memanfaatkan umpan pembaruan keamanan browser web Edge bergaya ClickFix untuk menjalankan perintah jahat yang mengunduh file ZIP dan versi lama Node. js yang dirilis pada tahun 2017 (versi 7. 10. 1) untuk mengeksekusi muatan berbasis JavaScript yang ada dalam arsip sambil meminimalkan kemungkinan deteksi.

Pemuat Potemkin adalah "pemuat x64 khusus yang menggunakan algoritme pembuatan domain untuk menemukan C2-nya dan secara reflektif memuat modul lanjutan di memori," kata peneliti Huntress, Anna Pham dan Zach Rogers. Aktivitas tersebut terdeteksi oleh vendor keamanan bulan lalu.

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari thehackernews. com