Para peneliti keamanan temukan cara baru para peretas untuk menyebarkan virus WikiLoader, dimana memanfaatkan VPN.
Dunia maya kembali diguncang dengan serangan siber terbaru yang menggunakan teknik SEO poisoning untuk menyebarkan perangkat lunak berbahaya varian baru, yaitu WikiLoader. Perangkat lunak berbahaya ini pertama kali ditemukan dua tahun lalu dan kini kembali menyasar pengguna melalui cara yang semakin licik.
Para peretas kini menyamar sebagai penjual perangkat lunak VPN GlobalProtect dari Palo Alto Networks, salah satu perangkat lunak keamanan yang terkenal. Dengan memanfaatkan teknik SEO poisoning, mereka berhasil membuat halaman web palsu yang muncul di puncak hasil pencarian, membuat banyak pengguna tidak curiga dan mengunduh perangkat lunak berbahaya tersebut.
Mengutip dari Dark Reading (6/9), menurut marklim Unit 42 Managed Threat Hunting dari Palo Alto yang pertama kali menemukan kampanye ini pada Juni 2024, teknik ini bukanlah hal baru, namun tetap efektif.
“Menyamarkan perangkat lunak keamanan terpercaya memungkinkan perangkat lunak berbahaya ini lolos dari deteksi oleh kontrol endpoint di berbagai organisasi,” kata para peneliti Unit 42, Mark Lim dan Tom Marsden dalam sebuah riset yang dipublikasi di situs Palo Alto, 2 September 2024.
Unit 42 adalah unit keamanan siber yang dimiliki oleh Palo Alto Networks, sebuah perusahaan keamanan siber terkemuka. Unit 42 dikenal karena keahliannya dalam analisis ancaman, investigasi insiden, dan riset keamanan siber.
Serangan ini terutama menargetkan sektor pendidikan tinggi dan transportasi di Amerika Serikat, serta beberapa organisasi di Italia. Dengan memanfaatkan nama besar seperti Palo Alto Networks, para peretas berhasil memperluas jangkauan korban mereka, yang biasanya hanya tersebar melalui teknik phishing tradisional.
WikiLoader, yang juga dikenal sebagai WailingCrab, adalah perangkat lunak berbahaya yang berfungsi sebagai pengunduh. perangkat lunak berbahaya ini dijual di pasar gelap oleh broker akses awal dan biasanya disebarkan melalui situs WordPress yang telah dikompromikan. “Kampanye ini menunjukkan bahwa bahkan teknik lama seperti SEO poisoning masih bisa sangat efektif jika dikombinasikan dengan nama-nama terpercaya,” tambah para peneliti.
Serangan ini memperlihatkan bahwa tidak semua yang terlihat terpercaya di internet benar-benar aman. Bahkan, teknik lama seperti SEO poisoning bisa digunakan dengan cara yang sangat canggih untuk menargetkan pengguna. Hal ini mengingatkan kita semua, baik individu maupun organisasi, untuk selalu berhati-hati dalam mengunduh perangkat lunak dari internet, meskipun itu tampaknya berasal dari sumber yang terpercaya.
Dalam era digital yang semakin canggih ini, ancaman siber terus berkembang, dan kita harus lebih waspada. “Masyarakat harus lebih kritis terhadap apa yang mereka unduh dan dari mana mereka mendapatkannya,” tutup seorang ahli keamanan siber yang tidak ingin disebutkan namanya.