Umpan pembaruan perangkat lunak palsu digunakan oleh pelaku ancaman untuk mengirimkan malware pencuri baru yang disebut CoinLurker.
“Ditulis dalam Go, CoinLurker menggunakan teknik kebingungan dan anti-analisis mutakhir, menjadikannya alat yang sangat efektif dalam serangan cyber modern,” kata peneliti Morphisec Nadav Lorber dalam laporan teknis yang diterbitkan Senin.
Serangan tersebut memanfaatkan peringatan pembaruan palsu yang menggunakan berbagai titik masuk yang menipu seperti pemberitahuan pembaruan perangkat lunak di situs WordPress yang disusupi, pengalihan malvertising, email phishing yang tertaut ke halaman pembaruan palsu, permintaan verifikasi CAPTCHA palsu, unduhan langsung dari situs palsu atau terinfeksi, dan tautan yang dibagikan melalui media sosial dan aplikasi perpesanan.
Terlepas dari metode yang digunakan untuk memicu rantai infeksi, pembaruan perangkat lunak meminta penggunaan Microsoft Edge Webview2 untuk memicu eksekusi payload.
“Ketergantungan Webview2 pada komponen pra-instal dan interaksi pengguna mempersulit analisis dinamis dan sandbox,” kata Lorber. “Sandbox sering kali tidak memiliki Webview2 atau gagal mereplikasi tindakan pengguna, sehingga malware dapat menghindari deteksi otomatis.”
Salah satu taktik lanjutan yang diterapkan dalam kampanye ini adalah penggunaan teknik yang disebut EtherHiding, di mana situs yang disusupi disuntikkan dengan skrip yang dirancang untuk menjangkau infrastruktur Web3 guna mengambil muatan akhir dari repositori Bitbucket yang menyamar sebagai alat yang sah (misalnya, “UpdateMe.exe,” “SecurityPatch.exe”).
Eksekusi ini, pada gilirannya, ditandatangani dengan sertifikat Extended Validation (EV) yang sah namun dicuri, sehingga menambah lapisan penipuan pada skema dan melewati pagar keamanan. Pada langkah terakhir, “injektor berlapis-lapis” digunakan untuk menyebarkan muatan ke dalam proses Microsoft Edge (“msedge.exe”).
CoinLurker juga menggunakan desain yang cerdas untuk menyembunyikan tindakannya dan mempersulit analisis, termasuk kebingungan besar untuk memeriksa apakah mesin sudah disusupi, mendekode payload langsung di memori selama runtime, dan mengambil langkah untuk mengaburkan jalur eksekusi program menggunakan pemeriksaan bersyarat, sumber daya yang berlebihan penugasan dan manipulasi memori berulang.
“Pendekatan ini memastikan bahwa malware menghindari deteksi, menyatu dengan aktivitas sistem yang sah, dan melewati aturan keamanan jaringan yang mengandalkan perilaku proses untuk memfilter,” kata Morphisec.
CoinLurker, setelah diluncurkan, memulai komunikasi dengan server jarak jauh menggunakan pendekatan berbasis soket dan mulai mengumpulkan data dari direktori tertentu yang terkait dengan dompet mata uang kripto (yaitu, Bitcoin, Ethereum, Ledger Live, dan Exodus), Telegram, Discord, dan FileZilla.
“Pemindaian komprehensif ini menggarisbawahi tujuan utama CoinLurker untuk mengumpulkan data berharga terkait cryptocurrency dan kredensial pengguna,” kata Lorber. “Penargetannya terhadap dompet arus utama dan dompet tidak jelas menunjukkan keserbagunaan dan kemampuan beradaptasi, menjadikannya ancaman signifikan bagi pengguna di ekosistem mata uang kripto.”
Perkembangan ini terjadi ketika satu pelaku ancaman telah diamati mengatur sebanyak 10 kampanye maliklan yang menyalahgunakan iklan Google Penelusuran untuk menargetkan profesional desain grafis setidaknya sejak 13 November 2024, menggunakan umpan yang terkait dengan FreeCAD, Rhinoceros 3D, Planner 5D, dan dalam bentuk.
“Domain telah diluncurkan hari demi hari, minggu demi minggu, setidaknya sejak 13 November 2024, untuk kampanye malvertising yang dihosting di dua alamat IP khusus: 185.11.61[.]243 dan 185.147.124[.]110,” kata Silent Push. “Situs yang berasal dari dua rentang IP ini diluncurkan dalam kampanye iklan Google Penelusuran, dan semuanya mengarah ke berbagai unduhan berbahaya.”
Hal ini juga terjadi setelah munculnya keluarga malware baru yang dijuluki I2PRAT yang menyalahgunakan jaringan peer-to-peer I2P untuk komunikasi terenkripsi dengan server command-and-control (C2). Perlu dicatat bahwa I2PRAT juga dilacak oleh Cofense dengan nama I2Parcae RAT.
Titik awal serangan adalah email phishing yang berisi tautan yang, ketika diklik, mengarahkan penerima pesan ke halaman verifikasi CAPTCHA palsu, yang menggunakan teknik ClickFix untuk mengelabui pengguna agar menyalin dan menjalankan perintah PowerShell berkode Base64 yang bertanggung jawab untuk peluncuran. pengunduh, yang kemudian menyebarkan RAT setelah mengambilnya dari server C2 melalui soket TCP.
