Waspada Peredaran CAPTCHA Palsu-Kesalahan Browser, Hacker Mengintai

CAPTCHA adalah fitur keamanan yang digunakan di situs web dan aplikasi untuk memverifikasi apakah pengguna adalah manusia atau bot otomatis.

Menurut keterangan Kaspersky, awal tahun ini ada hacker yang mendistribusikan Lumma stealer menggunakan CAPTCHA palsu, terutama menargetkan gamer.

Saat menjelajahi situs web game, pengguna dibujuk untuk mengeklik iklan yang menutupi seluruh layar. Setelah itu, mereka diarahkan ke halaman CAPTCHA palsu dengan petunjuk berupa perintah yang mengelabui mereka agar mengunduh stealer tersebut.

Saat mengeklik tombol “Saya bukan robot”, perintah Windows PowerShell yang dikodekan disalin ke clipboard PC. Kemudian mereka akan diminta untuk menempelkannya ke kotak terminal dan menekan Enter. Tindakan tersebut akan mengunduh dan meluncurkan Lumma.

Malware akan mencari file terkait asset kripto, cookie, dan data pengelola kata sandi di perangkat korban. Malware tersebut juga mengunjungi halaman web berbagai platform e-commerce, meningkatkan jumlah tampilan dan memberi penyerang keuntungan finansial tambahan.

ilustrasi layar laptop korban yang terkunci karena hacker (freepik.com/freepik)

Dalam gelombang serangan baru, peneliti Kaspersky mengidentifikasi skenario serangan lain, di mana alih-alih CAPTCHA, pesan kesalahan halaman web ditampilkan, yang dirancang agar tampak seperti pesan layanan di peramban web Chrome.

Penyerang memerintahkan pengguna untuk "menyalin perbaikan" ke jendela terminal (perbaikannya adalah perintah PowerShell berbahaya, sama seperti yang dijelaskan di atas).

Kaspersky menemukan bahwa gelombang serangan baru tersebut tidak hanya menargetkan para gamer, tetapi juga kelompok lain, didistribusikan melalui layanan berbagi file, aplikasi web, portal bandar taruhan, halaman konten dewasa, komunitas anime dan saluran lainnya.

Para penyerang menggunakan Trojan Amadey dalam gelombang serangan ini–seperti Lumma, Trojan ini mencuri kredensial dari peramban populer dan dompet kripto.

Tidak hanya itu, Trojan ini juga dapat mengambil tangkapan layar, memperoleh kredensial untuk layanan akses jarak jauh, dan mengunduh alat akses jarak jauh ke perangkat korban, yang memungkinkan para penyerang memperoleh akses penuh.

“Penyerang membeli beberapa slot iklan, dan jika pengguna melihat iklan ini dan mengekliknya, mereka akan diarahkan ke sumber daya berbahaya, merupakan taktik serangan umum," jelas Vasily Kolesnikov, pakar keamanan di Kaspersky.

Gelombang baru ini melibatkan jaringan distribusi yang diperluas secara signifikan dan pengenalan skenario serangan baru yang menjangkau lebih banyak korban. User dapat dibujuk oleh perintah CAPTCHA palsu atau pesan kesalahan halaman web Chrome, sehingga menjadi korban stealer dengan fungsi baru.

"Pengguna korporat dan individu harus berhati-hati dan berpikir kritis sebelum mengikuti perintah mencurigakan apa pun yang mereka lihat secara daring,” lanjutnya.

Untuk memblokir ancaman yang terkait dengan stealer, ikuti rekomendasi Kaspersky di bawah ini.

Perusahaan:

• Periksa apakah kredensial untuk perangkat atau aplikasi web perusahaan telah disusupi oleh pencuri di halaman arahan khusus Kaspersky Digital Footprint Intelligence.
• Gunakan solusi keamanan khusus seperti Kaspersky Endpoint Security for Business dengan kontrol aplikasi dan web, analisis perilaku membantu mendeteksi aktivitas berbahaya dengan cepat.
• Pertimbangkan untuk meningkatkan literasi digital karyawan guna meminimalkan risiko siber dari sisi manusia dengan menggunakan alat daring yang menawarkan pelatihan siber komprehensif bagi staf.

Perorangan:

• Gunakan solusi keamanan komprehensif, seperti Kaspersky Premium, di semua perangkat untuk mencegah pembukaan halaman mencurigakan atau email phishing.
• Gunakan Kaspersky Password Manager untuk menyimpan kata sandi dengan aman.