Awas, Situs Palsu Update Windows Sebarkan Malware Pencuri Password

Sedikit kita telaah keamanan, baru baru ini sebuah malicious campaign baru telah terungkap, di mana attacker menyamar sebagai situs resmi support Microsoft untuk menyebarkan malware berbahaya.

Nah nan membikin ini rawan adalah file nan ditawarkan terlihat seperti file Update Windows biasa, padahal sebenarnya berisi malware nan dirancang untuk mencuri password, info pembayaran seperti kartu angsuran hingga akses ke akun pengguna.

Seperti pada gambar diatas, attacker ini menggunakan domain tiruan nan microsoft-update[.]support nan sekilas mirip seperti situs resmi Microsoft.

Bahkan situs ini menyatakan menyediakan pembaruan untuk Windows 11 jenis 24H2, menampilkan nomor pembaruan KB nan terlihat valid, dan mempunyai tombol besar seperti laman resmi Microsoft.

Tampilannya, jelas mirip banget dan ketika tombol download di klik, file berjulukan WindowsUpdate 1.0.0.msi berukuran sekitar 83 MB bakal pengguna dapatkan.

Nah menariknya, isi file terlihat sah dengan Author tertulis Microsoft, penjelasan terlihat meyakinkan, dan dibuat menggunakan tool installer resmi (WiX Toolset), namun faktanya, ini adalah malware berbahaya.

Cara Kerjanya

Menurut info dari Malwarebytes, setelah file ini dijalankan, prosesnya tidak langsung terlihat mencurigakan dan malware tampaknya menggunakan beberapa lapisan untuk menyamarkan aktivitasnya, seperti Electron App untuk lapisan luar dan bakal disimpan di berkas berikut :

Selain itu, didalam aplikasi electron ini bakal ada JavaScript obfuscated nan disamarkan dengan teknik unik agar susah dianalisa dan akhirnya ada Python payload nan bakal menjalankan interpreter Python tersembunyi untuk melakukan tindakan berbahaya.

Nah setelah aplikasi dan kode python ini berjalan, malware bakal mencuri beragam info termasuk password nan tersimpan di browser, cookie dan sesi login, info pembayaran, token akun , info sistem dan letak pengguna dan mengupload hasil rampasan ke jasa file sharing anonim.

Selain itu, malware ini bisa memperkuat setelah restart dan menyamar sebagai Windows Security Health di registry dan membikin shortcut tiruan berjulukan Spotify.lnk di berkas startup dengan alur kurang lebih seperti ini :

Nah sayangnya lantaran menggunakan komponen nan legit seperti Electron dan Python, file utama tidak terdeteksi oleh puluhan antivirus, tidak ada alert dan aktivitas terlihat normal seperti Windows pada umumnya.

Cara kondusif dapatkan Update

Untuk para pembaca WinPoin sih harusnya sudah mengerti perihal ini ya, langkah mendapatkan pembaruan resmi adalah dengan melalui laman Windows Update.

Atau jika mau manual bisa melalui laman https://www.catalog.update.microsoft.com/, jika mendapati domain asing apalagi diluar dari laman microsoft.com jelas itu sangat mencurigakan.

Selain itu, mungkin ada baiknya Anda memblokir beberapa IOCs / Indicators of Compromise berikut mulai dari file hash SHA – 256 dan domain rawan mengenai dengan temuan keamanan ini.

c94de13f548ce39911a1c55a5e0f43cddd681deb5a5a9c4de8a0dfe5b082f650  (AppLauncher.vbs)

datawebsync-lvmv[.]onrender[.]com (C2)

sync-service[.]system-telemetry[.]workers[.]dev (C2 relay)

store8[.]gofile[.]io (exfiltration)

www[.]myexternalip[.]com (IP reconnaissance)

ip-api[.]com (geolocation)

Nah apakah Anda sempat terjebak? saya minta sih tidak ya, lantaran ketika tulisan ini ditulis, situs tersebut sudah tidak bisa diakses.

Namun gimana menurutmu? komen dibawah guys.

Via : Malwarebytes