Peretas Eksploitasi Situs Web Sebelum Sebar Malware

Peretas Eksploitasi Situs Web Sebelum Sebar Malware

Internet Sehat : Penyerang siber atau peretas telah beralih ke teknik pengoptimalan mesin pencari (SEO) untuk menyebarkan muatan malware ke sebanyak mungkin korban.

Menurut Sophos, peretas menggunakan metode deoptimisasi mesin pencari yang mencakup trik SEO dan penyalahgunaan psikologi manusia untuk mendorong situs web yang telah dikompromikan ke peringkat atas dalam hasil pencarian Google.

Pengoptimalan SEO digunakan oleh webmaster untuk secara sah meningkatkan eksposur situs web mereka di mesin pencari seperti Google atau Bing. Namun, Sophos mengatakan bahwa pelaku ancaman sekarang merusak sistem manajemen konten (CMS) situs web untuk menyajikan malware finansial, mengeksploitasi alat, dan ransomware.

Dalam sebuah posting blog pada hari Senin, tim keamanan siber mengatakan teknik yang dijuluki Gootloader melibatkan penyebaran kerangka kerja infeksi untuk Gootkit Remote Access Trojan (RAT) yang juga mengirimkan berbagai muatan malware lainnya.

Penggunaan SEO sebagai teknik untuk menerapkan RAT Gootkit bukanlah operasi kecil. Para peneliti memperkirakan bahwa jaringan server minimal sebanyak 400 harus dijaga pada waktu tertentu agar berhasil.

Meskipun tidak diketahui apakah eksploitasi tertentu digunakan untuk menyusupi domain ini sejak awal, para peneliti mengatakan bahwa CMS yang menjalankan backend situs web mungkin telah dibajak melalui malware, kredensial yang dicuri, atau serangan brute-force.

Setelah pelaku ancaman mendapatkan akses, beberapa baris kode dimasukkan ke dalam badan konten situs web. Situs web yang disusupi oleh Gootloader dimanipulasi untuk menjawab permintaan pencarian tertentu. Papan pesan palsu adalah tema konstan dalam situs web yang diretas yang diamati oleh Sophos, di mana modifikasi dibuat untuk menulis ulang bagaimana konten situs web ditampilkan kepada pengunjung tertentu.

Jika kondisi yang tepat terpenuhi (dan tidak ada kunjungan sebelumnya ke situs web dari alamat IP pengunjung), kode berbahaya yang berjalan di sisi server menggambar ulang laman untuk memberi pengunjung kesan bahwa mereka tersandung ke papan pesan atau area komentar blog di mana orang-orang mendiskusikan topik yang persis sama.

Sebuah posting forum palsu kemudian akan ditampilkan yang berisi jawaban yang jelas atas pertanyaan tersebut, serta tautan unduhan langsung. Dalam satu contoh yang dibahas oleh tim, situs web klinik neonatal yang sah dikompromikan untuk menunjukkan jawaban palsu atas pertanyaan yang berkaitan dengan real estat.

Sumber : ZDNet

Share

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.