Sebuah serangan siber terbaru terungkap, di mana situs web palsu yang mengiklankan Google Chrome digunakan untuk menyebarkan malware berbahaya bernama ValleyRAT. Malware ini bukan sekadar virus biasa, melainkan sebuah trojan akses jarak jauh (Remote Access Trojan/RAT) yang mampu mencuri data dan mengontrol sistem korban dari jarak jauh
Serangan ini dikaitkan dengan kelompok peretas Silver Fox, yang sejak 2023 telah menargetkan pengguna di wilayah berbahasa Mandarin seperti Hong Kong, Taiwan, dan China daratan. Namun, ada indikasi bahwa kampanye ini mulai menyebar lebih luas dan mengincar target yang lebih spesifik.
Sasaran Utama: Pekerja dengan Akses ke Data Sensitif
Laporan dari perusahaan keamanan siber Morphisec mengungkap bahwa kelompok peretas di balik serangan ini kini semakin cermat dalam memilih target. Mereka fokus pada individu yang bekerja di departemen keuangan, akuntansi, dan penjualan yakni orang-orang yang memiliki akses ke data sensitif perusahaan.
Laporan dari perusahaan keamanan siber Morphisec mengungkap bahwa kelompok peretas di balik serangan ini kini semakin cermat dalam memilih target. Mereka fokus pada individu yang bekerja di departemen keuangan, akuntansi, dan penjualan yakni orang-orang yang memiliki akses ke data sensitif perusahaan.
"Ini adalah strategi yang sangat terarah. Dengan menargetkan pekerja di posisi kunci, peretas bisa mendapatkan informasi berharga, termasuk data keuangan dan sistem internal perusahaan," kata Shmuel Uzan, peneliti keamanan dari Morphisec.
Metode Serangan: Situs Palsu dan Teknik DLL Hijacking
Serangan ValleyRAT dimulai dengan penyebaran situs web palsu yang menyerupai situs resmi Google Chrome. Saat pengguna mencari Google Chrome di internet, mereka dapat diarahkan ke situs berbahaya ini melalui teknik drive-by download.
Serangan ValleyRAT dimulai dengan penyebaran situs web palsu yang menyerupai situs resmi Google Chrome. Saat pengguna mencari Google Chrome di internet, mereka dapat diarahkan ke situs berbahaya ini melalui teknik drive-by download.
Ketika korban mengunduh dan menjalankan installer yang mereka kira sebagai Google Chrome, sebenarnya mereka sedang menginstal program berbahaya yang berisi ValleyRAT.
Begitu dijalankan, installer palsu ini akan:
- Memeriksa apakah korban memiliki hak administrator pada perangkatnya.
- Mengunduh beberapa file tambahan, termasuk:
- Douyin.exe: Aplikasi asli (versi China dari TikTok) yang digunakan untuk menyembunyikan malware.
- tier0.dll: File DLL berbahaya yang menyebarkan malware ValleyRAT.
- sscronet.dll: File yang bertugas menonaktifkan proses keamanan di komputer korban.
Teknik yang digunakan dalam serangan ini dikenal sebagai DLL hijacking, yaitu memanfaatkan aplikasi sah yang memiliki celah keamanan untuk menjalankan kode berbahaya tanpa terdeteksi.
Kemampuan ValleyRAT: Mengintai dan Mengontrol Korban
ValleyRAT bukan sekadar virus biasa. Trojan ini dirancang untuk memantau aktivitas korban dan mengambil alih sistem mereka secara diam-diam.
Sumber : https://csirt.or.id/berita/situs-palsu-chrome-sebarkan-malware
ValleyRAT bukan sekadar virus biasa. Trojan ini dirancang untuk memantau aktivitas korban dan mengambil alih sistem mereka secara diam-diam.
Sumber : https://csirt.or.id/berita/situs-palsu-chrome-sebarkan-malware