Kelompok kriminal membajak ratusan situs berita AS untuk mendorong malware •

Berita22 Views

Sekelompok penjahat dunia maya telah meretas penyedia konten media untuk menyebarkan malware di situs web ratusan outlet berita di Amerika Serikat, menurut perusahaan keamanan siber Proofpoint.

Pelaku ancaman, yang dilacak oleh Proofpoint sebagai “TA569,” menyalahgunakan organisasi media untuk menerbitkan SocGholish, malware khusus yang telah aktif setidaknya sejak 2018.

Nama perusahaan media yang dimaksud belum diungkapkan, tetapi telah diberitahukan dan dikatakan sedang menyelidiki masalah tersebut. Sherrod DeGrippo, wakil presiden penelitian dan deteksi ancaman di Proofpoint, mengatakan kepada TechCrunch bahwa organisasi tersebut menyediakan “konten video dan iklan untuk outlet berita utama.” DeGrippo menambahkan bahwa 250 situs web surat kabar nasional AS dan situs web regional terpengaruh, termasuk organisasi media yang melayani Boston, Chicago, Cincinnati, Miami, New York, Palm Beach dan Washington, DC.

Tidak jelas bagaimana perusahaan media yang tidak disebutkan namanya itu diretas, tetapi DeGrippo menambahkan bahwa TA569 “memiliki sejarah peretasan yang terbukti ke dalam manajemen konten dan sistem hosting akun.”

Berita tentang pembajakan situs web adalah yang pertama twit itu Rabu.

Malware SocGholish disuntikkan ke file JavaScript jinak yang diunggah oleh situs web outlet berita, mendorong pengunjung situs untuk mengunduh pembaruan perangkat lunak palsu. Dalam kampanye ini, klaim berupa pembaruan browser untuk Chrome, Firefox, Internet Explorer, Edge, atau Opera.

“Jika korban mengunduh dan menjalankan ‘pembaruan palsu’ ini, mereka akan terinfeksi dengan muatan SocGholish,” kata DeGrippo. “Rantai serangan ini membutuhkan interaksi dari pengguna akhir di dua titik: menerima unduhan dan mengeksekusi muatan.”

Baca juga :  Acara TV fantasi terbaik yang pernah ada di Netflix saat ini

SocGholish dianggap sebagai “ancaman akses utama” yang, jika berhasil ditanamkan, berfungsi sebagai pendahulu ransomware, menurut Proofpoint. Perusahaan mengatakan tujuan akhir dari pelaku ancaman adalah keuntungan finansial.

Proofpoint memberi tahu TechCrunch bahwa ia “mengevaluasi dengan keyakinan tinggi” bahwa TA569 terkait dengan WastedLocker, sejenis ransomware yang dikembangkan oleh Evil Corp yang telah disetujui oleh Amerika Serikat. Perusahaan menambahkan bahwa mereka tidak percaya bahwa TA569 adalah Evil Corp, tetapi bertindak sebagai perantara untuk perangkat yang sudah diretas untuk grup peretasan.

Awal tahun ini terungkap bahwa Evil Corp menggunakan model ransomware-as-a-service dalam upaya untuk menghindari sanksi AS. Geng itu dihukum pada Desember 2019 karena pengembangan ekstensif malware Dridex, yang digunakan geng itu untuk mencuri lebih dari $100 juta dari ratusan bank dan lembaga keuangan.