 |
| cover | topik.id |
"Pada awal Desember 2024, Microsoft Threat Intelligence mendeteksi kampanye malvertising berskala besar yang memengaruhi hampir satu juta perangkat di seluruh dunia dalam serangan oportunistik untuk mencuri informasi," ungkap Microsoft dalam laporan resminya, dikutip topik.id Jumat (7/2/2025).
Microsoft merincikan, GitHub menjadi platform utama dalam penyebaran muatan awal serangan ini. Selain itu, Microsoft juga menemukan beberapa muatan yang dihosting di Discord dan Dropbox. Malware yang tersimpan dalam repositori GitHub bertindak sebagai dropper untuk menyebarkan file dan skrip berbahaya tambahan guna mencuri informasi dari perangkat yang terinfeksi.
Serangan ini menggunakan pendekatan modular dan multitahap dalam eksekusi dan persistensi payload. File malware yang diunduh dari GitHub berfungsi untuk mengumpulkan informasi sistem, menginstal lebih banyak malware, dan mencuri dokumen serta data sensitif dari host yang telah disusupi. Serangan ini dikaitkan dengan kelompok ancaman yang dilacak sebagai Storm-0408.
"GitHub adalah platform utama yang digunakan dalam pengiriman muatan akses awal dan dirujuk di seluruh postingan blog ini; namun, Microsoft Threat Intelligence juga mengamati satu muatan yang dihosting di Discord dan muatan lainnya yang dihosting di Dropbox," terangnya.
Microsoft dalam analisisnya mengungkap rantai pengalihan dalam kampanye ini. Situs web streaming ilegal menyematkan malvertising dalam iframe film untuk mengarahkan pengguna ke berbagai situs perantara. Setelah melalui beberapa pengalihan, pengguna akhirnya diarahkan ke GitHub, tempat malware disebarkan.
Tahapan serangan melibatkan beberapa muatan berbeda. Muatan tahap pertama yang dihosting di GitHub berfungsi sebagai dropper untuk muatan berikutnya. Muatan tahap kedua bertugas mengumpulkan informasi sistem, sementara tahap ketiga bertindak sebagai perintah dan kontrol untuk mengunduh lebih banyak malware dan mencuri data korban.
Rantai pengalihan dalam serangan ini sangat kompleks, terdiri dari empat hingga lima lapisan pengalihan sebelum korban mencapai situs berbahaya. Peneliti Microsoft menemukan bahwa pengalihan ini berasal dari situs web streaming ilegal yang memanfaatkan iklan berbahaya untuk menginfeksi perangkat pengguna.
"Repositori GitHub yang ditutup menyimpan malware yang digunakan untuk menyebarkan file dan skrip berbahaya tambahan. Setelah malware awal dari GitHub berhasil masuk ke perangkat, file tambahan yang disebarkan memiliki pendekatan modular dan multitahap untuk pengiriman, eksekusi, dan persistensi payload," jelasnya.
Setelah masuk ke sistem, malware mulai membangun pijakan awal dengan menjalankan berbagai skrip dan file berbahaya. Teknik living-off-the-land (LOLBAS) seperti PowerShell.exe, MSBuild.exe, dan RegAsm.exe digunakan untuk mempertahankan akses, mengekstrak data, dan menghindari deteksi keamanan.
Infostealer seperti Lumma dan Doenerium sering kali menjadi bagian dari muatan serangan ini. Selain itu, NetSupport, perangkat lunak pemantauan dan manajemen jarak jauh (RMM), juga sering digunakan dalam serangan untuk meningkatkan kontrol terhadap perangkat yang terinfeksi.
Persistensi malware dicapai melalui berbagai teknik seperti modifikasi kunci registri dan penyimpanan file pintasan di folder Startup Windows. Teknik ini memungkinkan malware tetap aktif meskipun sistem di-restart atau pengguna mencoba menghapusnya.
Microsoft menemukan bahwa beberapa muatan awal yang digunakan dalam serangan ini ditandatangani dengan sertifikat digital yang baru dibuat. Hingga pertengahan Januari 2025, setidaknya dua belas sertifikat berbeda telah diidentifikasi dan dicabut untuk mencegah penyebaran lebih lanjut.
Sebagai respons terhadap ancaman ini, Microsoft berkolaborasi dengan tim keamanan GitHub untuk menutup repositori berbahaya yang digunakan dalam kampanye ini. Microsoft juga telah membagikan indikator kompromi (IOC) serta rekomendasi mitigasi bagi organisasi untuk melindungi sistem mereka.
Dengan menyebarluaskan informasi ini, Microsoft berharap dapat meningkatkan kesadaran akan taktik, teknik, dan prosedur (TTP) yang digunakan oleh pelaku ancaman. Organisasi diharapkan dapat mengambil langkah pencegahan yang lebih baik guna melindungi sistem dan data mereka dari ancaman serupa di masa depan.
"Sejak setidaknya awal Desember 2024, beberapa host mengunduh muatan tahap pertama dari repositori GitHub yang berbahaya. Pengguna dialihkan ke GitHub melalui serangkaian pengalihan lainnya. Analisis rantai pengalihan menentukan bahwa serangan tersebut kemungkinan berasal dari situs web streaming ilegal tempat pengguna dapat menonton video bajakan," bebernya.
.png%20(1).webp "10 Platform AI terpopuler di dunia skala 2025, ChatGPT rajanya")
