Serangan Iklan Palsu Slack: Malware Mengintai di Google

Akhir-akhir ini, penjahat siber semakin canggih dalam menggunakan iklan pencarian Google untuk menyebarkan payload berbahaya. Mereka mengemas malware dalam iklan yang tampaknya sah untuk aplikasi komunikasi populer, Slack. Serangan ini mencerminkan peningkatan taktik dari para pelaku ancaman yang kini semakin mahir dalam menembus langkah-langkah keamanan dan menghindari deteksi.

Meningkatnya Kasus Malvertising

Dalam setahun terakhir, telah tercatat hampir 500 insiden malvertising unik yang terkait dengan iklan pencarian Google. Insiden-insiden ini menunjukkan pola yang mirip, menunjukkan adanya kampanye terkoordinasi oleh para pelaku ancaman. Beberapa di antara mereka bahkan rela mengorbankan akun dan infrastruktur mereka demi mencapai tujuan. Salah satu serangan terbaru yang menargetkan Slack menjadi sorotan karena tekniknya yang canggih dan tersembunyi.

Mengenali Petunjuk dan Iklan Mencurigakan

Selama beberapa hari terakhir, muncul iklan mencurigakan untuk Slack di bagian atas hasil pencarian Google. Pada pandangan pertama, iklan tersebut tampak sah dan mengarahkan pengguna ke situs resmi Slack. Namun, pemeriksaan lebih mendalam mengungkapkan bahwa iklan tersebut mempromosikan produk yang tampaknya ditujukan untuk pasar Asia, dengan iklan Slack tampil secara tidak sesuai di antara produk-produk tersebut. Anomali ini menimbulkan kecurigaan dan menunjukkan betapa pentingnya deteksi kontekstual dalam mengidentifikasi akun pengiklan yang telah dikompromikan.

Strategi "Masak Perlahan"

Pada awalnya, mengklik iklan Slack mengarahkan pengguna ke halaman harga di situs resmi Slack. Taktik ini, yang dikenal sebagai "masak perlahan," adalah strategi yang umum digunakan oleh pelaku ancaman. Mereka membiarkan iklan tetap tidak terdeteksi untuk sementara waktu agar tidak menimbulkan kecurigaan. Seiring berjalannya waktu, perilaku iklan berubah dan mulai mengarahkan pengguna ke pelacak klik—a sebuah kerentanan dalam ekosistem iklan Google yang dapat dimanfaatkan untuk menyaring klik dan mengarahkan lalu lintas ke domain berbahaya. URL akhir dari iklan tersebut adalah slack-windows-download[.]com, sebuah domain yang baru dibuat kurang dari seminggu lalu. Meskipun halaman awalnya tampak tidak berbahaya, penyelidikan lebih lanjut mengungkapkan bahwa halaman tersebut menyamar sebagai Slack dan menawarkan tautan unduhan kepada korban yang tidak curiga. Taktik ini, yang dikenal sebagai cloaking, melibatkan tampilan konten yang berbeda untuk pengguna yang berbeda, membuatnya sulit untuk mendeteksi aktivitas berbahaya tanpa alat khusus dan pemahaman mendalam mengenai taktik, teknik, dan prosedur (TTP) para pelaku ancaman.

Payload Malware

Tombol unduh di halaman berbahaya tersebut memicu unduhan file dari domain lain, yang menunjukkan adanya kampanye paralel yang mungkin juga menargetkan Zoom. Analisis dinamis di lingkungan sandbox mengungkapkan adanya koneksi jarak jauh ke server yang sebelumnya terkait dengan SecTopRAT, sebuah Trojan akses jarak jauh yang juga memiliki kemampuan pencurian data. Payload ini telah digunakan dalam kampanye malvertising lainnya, termasuk yang menyamar sebagai NordVPN. Menanggapi ancaman ini, perusahaan keamanan siber Malwarebytes telah meningkatkan cakupan deteksinya dan melaporkan iklan berbahaya ini kepada Google. Cloudflare juga telah menandai domain-domain tiruan ini sebagai situs phishing.

Langkah-Langkah Pencegahan

Meskipun upaya-upaya ini, pelaku malvertising terus memanfaatkan platform gratis dan berbayar untuk menghindari deteksi, menunjukkan bahwa mereka memiliki kesabaran dan perencanaan strategis yang matang. Seiring dengan semakin canggihnya ancaman siber, individu dan organisasi perlu tetap waspada dan terinformasi. Pengguna harus berhati-hati saat mengklik iklan dan selalu memverifikasi keaslian situs web sebelum mengunduh file apa pun. Dengan tetap terinformasi dan mengadopsi langkah-langkah keamanan yang proaktif, kita dapat melindungi diri kita dari lanskap ancaman siber yang terus berkembang dan semakin kompleks.