Sebuah kampanye baru menipu pengguna yang mencari aplikasi Meta Quest (sebelumnya Oculus) untuk Windows agar mengunduh keluarga adware baru yang disebut AdsExhaust.
“Adware ini mampu mengekstrak tangkapan layar dari perangkat yang terinfeksi dan berinteraksi dengan browser menggunakan simulasi penekanan tombol,” kata perusahaan keamanan siber eSentire dalam sebuah analisis, seraya menambahkan bahwa pihaknya mengidentifikasi aktivitas tersebut awal bulan ini.
"Fungsi ini memungkinkannya secara otomatis mengklik iklan atau mengarahkan browser ke URL tertentu, sehingga menghasilkan pendapatan bagi operator adware."
Rantai infeksi awal melibatkan kemunculan situs web palsu ("oculus-app[.]com") di halaman hasil pencarian Google menggunakan teknik keracunan optimasi mesin pencari (SEO), yang mendorong pengunjung situs yang tidak menaruh curiga untuk mengunduh arsip ZIP ("oculus-app. EXE.zip") yang berisi skrip batch Windows.
Skrip batch dirancang untuk mengambil skrip batch kedua dari server perintah-dan-kontrol (C2), yang, pada gilirannya, berisi perintah untuk mengambil file batch lain. Ini juga membuat tugas terjadwal pada mesin untuk menjalankan skrip batch pada waktu yang berbeda.
Langkah ini diikuti dengan pengunduhan aplikasi yang sah ke host yang disusupi, sekaligus file Visual Basic Script (VBS) tambahan dan skrip PowerShell tambahan dibuang untuk mengumpulkan informasi IP dan sistem, menangkap tangkapan layar, dan mengekstrak data ke server jarak jauh ( "us11[.]org/in.php").
Respons dari server adalah adware AdsExhaust berbasis PowerShell yang memeriksa apakah browser Edge Microsoft berjalan dan menentukan kapan terakhir kali input pengguna terjadi.
“Jika Edge berjalan dan sistem dalam keadaan idle dan melebihi 9 menit, skrip dapat memasukkan klik, membuka tab baru, dan menavigasi ke URL yang tertanam dalam skrip,” kata eSentire. "Kemudian secara acak menggulir ke atas dan ke bawah halaman yang terbuka."
Diduga perilaku ini dimaksudkan untuk memicu elemen seperti iklan di halaman web, terutama mengingat AdsExhaust melakukan klik acak dalam koordinat tertentu di layar.
Adware juga mampu menutup browser yang dibuka jika gerakan mouse atau interaksi pengguna terdeteksi, membuat overlay untuk menyembunyikan aktivitasnya kepada korban, dan mencari kata "Disponsori" di tab browser Edge yang sedang dibuka untuk mengklik iklan dengan tujuan meningkatkan pendapatan iklan.
Selain itu, ia dilengkapi untuk mengambil daftar kata kunci dari server jarak jauh dan melakukan pencarian Google untuk kata kunci tersebut dengan meluncurkan sesi browser Edge melalui perintah Start-Process PowerShell.
“AdsExhaust adalah ancaman adware yang secara cerdik memanipulasi interaksi pengguna dan menyembunyikan aktivitasnya untuk menghasilkan pendapatan tidak sah,” kata perusahaan asal Kanada tersebut.
“Ini berisi beberapa teknik, seperti mengambil kode berbahaya dari server C2, mensimulasikan penekanan tombol, menangkap tangkapan layar, dan membuat overlay agar tetap tidak terdeteksi saat melakukan aktivitas berbahaya.”
Perkembangan ini terjadi ketika situs web dukungan TI palsu serupa yang muncul melalui hasil pencarian digunakan untuk mengirimkan Hijack Loader (alias IDAT Loader), yang pada akhirnya menyebabkan infeksi Vidar Stealer.
Apa yang membuat serangan ini menonjol adalah bahwa pelaku ancaman juga memanfaatkan video YouTube untuk mengiklankan situs palsu dan menggunakan bot untuk mengirim komentar palsu, sehingga memberikan lapisan legitimasi kepada pengguna yang mencari solusi untuk mengatasi kesalahan pembaruan Windows (kode kesalahan 0x80070643 ).
“Hal ini menyoroti efektivitas taktik rekayasa sosial dan perlunya pengguna berhati-hati mengenai keaslian solusi yang mereka temukan secara online,” kata eSentire .
Pengungkapan ini juga terjadi setelah kampanye malpsam yang menargetkan pengguna di Italia dengan umpan arsip ZIP bertema faktur untuk mengirimkan trojan akses jarak jauh berbasis Java bernama Adwind (alias AlienSpy, Frutas, jRAT, JSocket, Sockrat, dan Unrecom).
"Setelah ekstraksi, pengguna disajikan dengan file .HTML seperti INVOICE.html atau DOCUMENT.html yang mengarah ke file .jar berbahaya," kata Symantec milik Broadcom .
“Muatan terakhir yang dijatuhkan adalah Adwind remote access trojan (RAT) yang memungkinkan penyerang mengontrol titik akhir yang disusupi serta pengumpulan dan eksfiltrasi data rahasia.”
0 Comments