Aplikasi Google Authenticator palsu menyebarkan malware, bukan autentikasi
Seorang pelaku ancaman telah menggunakan iklan Google yang sah untuk mengarahkan korban ke situs palsu guna mengunduh malware pencuri informasi.
Peneliti keamanan telah menemukan kampanye malware yang mendistribusikan pencuri informasi yang menyamar sebagai aplikasi Authenticator milik Google.
Kampanye tersebut diuraikan dalam posting blog Malwarebytes dan didasarkan pada kampanye iklan Google yang sah – hanya saja itu iklan palsu.
Iklan yang disponsori akan ditampilkan kepada siapa saja yang mencari Google Authenticator. Iklan tersebut menampilkan situs web Google yang sah, menandai dirinya sebagai “situs web resmi”, dan bahkan mengklaim pengiklan – Larry Marr – telah diverifikasi oleh Google.
“Yang sebenarnya terjadi adalah Larry Marr tidak ada hubungannya dengan Google dan kemungkinan merupakan akun palsu,” kata peneliti Malwarebytes, Jérôme Segura, dalam sebuah posting blog.
“Kami dapat melacak apa yang terjadi saat Anda mengeklik iklan tersebut dengan memantau lalu lintas web. Kami melihat sejumlah pengalihan melalui domain perantara yang dikendalikan oleh penyerang, sebelum diarahkan ke situs palsu untuk Authenticator.”
Sebanyak 10 pengalihan melewati beberapa domain – termasuk beberapa situs Google yang sah, domain penyamaran, dan sejumlah domain palsu yang mengklaim sebagai “chromeweb-authenticators(.)com” – sebelum akhirnya berakhir di repositori Github. Situs chromeweb telah didaftarkan pada hari yang sama saat iklan palsu pertama kali terlihat, dan kode untuk situs tersebut menampilkan komentar yang ditulis dalam alfabet Cyrillic.
File berbahaya yang dihosting pada repositori Github tersebut disebut Authenticator.exe tetapi sebenarnya adalah pencuri informasi DeerStealer, yang dapat mencuri data melalui infrastruktur web yang dikendalikan oleh pelaku ancaman.
Berkas itu sendiri dilengkapi tanda tangan sah yang ditandatangani oleh Songyuan Meiying Electronic Products Co.
“Perlu dicatat bahwa Google Authenticator adalah alat autentikasi multifaktor yang terkenal dan tepercaya, jadi ada ironi dalam kasus korban potensial yang disusupi saat mencoba meningkatkan postur keamanan mereka,” kata Segura.
“Kami sarankan untuk menghindari mengklik iklan untuk mengunduh perangkat lunak apa pun dan sebagai gantinya kunjungi repositori resminya secara langsung.”
David Hollingworth
David Hollingworth telah menulis tentang teknologi selama lebih dari 20 tahun, dan telah bekerja untuk berbagai media cetak dan daring dalam kariernya. Ia senang memahami keamanan siber, terutama saat ia berbicara tentang Lego.
