Microsoft meminta perhatian pada kampanye malvertising yang sedang berlangsung yang memanfaatkan node.js untuk memberikan muatan berbahaya yang mampu melakukan pencurian informasi dan exfiltrasi data.
Kegiatan tersebut, pertama kali terdeteksi pada Oktober 2024, menggunakan umpan yang terkait dengan perdagangan cryptocurrency untuk menipu pengguna agar menginstal pemasang nakal dari situs web penipuan yang menyamar sebagai perangkat lunak yang sah seperti Binance atau TradingView.
Penginstal yang diunduh dilengkapi dengan pustaka tautan-dinamis (“CustomActions.dll”) yang bertanggung jawab untuk memanen informasi sistem dasar menggunakan Windows Management Instrumentation (WMI) dan mengatur kegigihan pada host melalui tugas yang dijadwalkan.
Dalam upaya untuk menjaga tipu daya, DLL meluncurkan jendela browser melalui “msedge_proxy.exe” yang menampilkan situs web perdagangan cryptocurrency yang sah. Perlu dicatat bahwa “msedge_proxy.exe” dapat digunakan untuk menampilkan situs web apa pun sebagai aplikasi web.
Tugas yang dijadwalkan, sementara itu, dikonfigurasi untuk menjalankan perintah PowerShell untuk diunduh dari server jarak jauh skrip tambahan, yang menangani mengecualikan proses PowerShell yang sedang berjalan serta direktori saat ini dari dipindai oleh Microsoft Defender untuk titik akhir sebagai cara untuk menyiarkan deteksi.
Setelah pengecualian ditetapkan, perintah PowerShell yang dikalahkan dijalankan untuk mengambil dan menjalankan skrip dari URL jarak jauh yang mampu mengumpulkan informasi luas terkait dengan sistem operasi, BIOS, perangkat keras, dan aplikasi yang diinstal.
Semua data yang ditangkap dikonversi menjadi format JSON dan dikirim ke server perintah-dan-kontrol (C2) menggunakan permintaan HTTPS POST.
Rantai serangan kemudian melanjutkan ke fase berikutnya di mana skrip PowerShell lain diluncurkan untuk mengunduh file arsip dari C2 yang berisi biner runtime node.js dan file javascript yang dikompilasi (JSC). Node.js yang dapat dieksekusi memulai eksekusi file JSC, yang digunakan untuk membuat koneksi jaringan dan kemungkinan menyedot informasi browser yang sensitif.
Dalam urutan infeksi alternatif yang diamati oleh Microsoft, strategi ClickFix telah digunakan untuk mengaktifkan eksekusi javascript inline, menggunakan perintah PowerShell berbahaya untuk mengunduh biner Node.js dan menggunakannya untuk menjalankan kode JavaScript secara langsung, alih -alih dari file.
JavaScript inline melakukan kegiatan penemuan jaringan untuk mengidentifikasi aset bernilai tinggi, menyamarkan lalu lintas C2 sebagai aktivitas cloudflare yang sah untuk terbang di bawah radar, dan memperoleh kegigihan dengan memodifikasi tombol menjalankan Windows Registry.
“Node.js adalah lingkungan runtime JavaScript open-source, lintas platform yang memungkinkan kode JavaScript berjalan di luar browser web,” kata raksasa teknologi itu. “Ini banyak digunakan dan dipercaya oleh pengembang karena memungkinkan mereka membangun aplikasi frontend dan backend.”
“Namun, aktor ancaman juga memanfaatkan karakteristik node.js ini untuk mencoba memadukan malware dengan aplikasi yang sah, memotong kontrol keamanan konvensional, dan bertahan di lingkungan target.”
Pengungkapannya datang ketika Cloudsek mengungkapkan bahwa situs konverter PDF-to-Docx palsu menyamar sebagai permen pdf (candyxpdf[.]com atau candyconverterpdf[.]com) telah ditemukan memanfaatkan trik rekayasa sosial clickfix untuk membujuk para korban untuk menjalankan perintah PowerShell yang dikodekan yang pada akhirnya menggunakan malware sektoprat (alias arechclient2).
“Aktor ancaman dengan cermat mereplikasi antarmuka pengguna platform asli dan mendaftarkan nama domain yang mirip untuk menipu pengguna,” kata peneliti keamanan Varun Ajmera dalam sebuah laporan yang diterbitkan minggu ini.
“Vektor serangan melibatkan penipuan korban untuk melaksanakan perintah PowerShell yang memasang malware ArechClient2, varian dari keluarga pencuri informasi sektoprat berbahaya yang dikenal karena memanen data sensitif dari sistem yang dikompromikan.”
Kampanye phishing juga telah diamati menggunakan kit berbasis PHP untuk menargetkan karyawan perusahaan dengan sumber daya manusia (SDM) yang bertema penipuan untuk mendapatkan akses yang tidak sah ke portal penggajian dan mengubah informasi rekening bank korban untuk mengarahkan dana ke akun di bawah kendali aktor ancaman.
Beberapa kegiatan ini telah dikaitkan dengan kelompok peretasan yang disebut Payroll Pirates, dengan para penyerang menggunakan kampanye iklan pencarian berbahaya dengan situs web phishing yang disponsori dan halaman SDM yang spoofed melalui Google untuk memikat korban yang tidak curiga untuk memberikan kredensial dan kode otentikasi dua faktor (2FA) mereka.
