Waspada! Layar Biru Palsu Windows Ini Adalah Jebakan

Securonix

Ikuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google.

Layar Biru (atau Layar Hitam) Kematian (Blue/Black Screen of Death/BSOD) pada Windows biasanya adalah tanda bahwa telah terjadi kesalahan atau konflik yang tak dapat dipulihkan. Kini, para penjahat siber menggunakan BSOD yang ditakuti tersebut sebagai cara untuk menipu orang agar menjalankan malware.

Dalam kampanye malware baru yang dilacak oleh firma keamanan siber Securonix, penyerang menggunakan rekayasa sosial ClickFix, CAPTCHA palsu, dan BSOD gadungan untuk meyakinkan korban agar menyalin dan menempelkan kode berbahaya. Setelah dieksekusi, kode tersebut akan menerapkan RAT (trojan akses jarak jauh) yang dikaitkan dengan Rusia, yang memungkinkan penjahat mengambil alih PC dari jarak jauh dan menyebarkan malware tambahan.

Juga: 9 hal yang selalu saya lakukan setelah menyiapkan Windows 11 — dan mengapa Anda juga harus

Ditujukan pada industri perhotelan dan hospitality, kampanye yang dijuluki PHALT#BLYX ini digambarkan oleh Securonix sebagai rantai infeksi multi-tahap, karena membawa korbannya melalui serangkaian langkah.

Cara Kerja Serangan Ini

Serangan dimulai dengan email phishing yang berisi tautan ke situs web palsu yang menyamar sebagai agen perjalanan daring Booking.com. Email tersebut secara lahiriah memuat permintaan pembatalan reservasi pemesanan untuk meyakinkan penerima agar berinteraksi dengannya. Memilih tautan ke situs akan menampilkan halaman dengan perintah CAPTCHA palsu yang kemudian memicu BSOD gadungan.

Dari sana, kampanye beralih ke taktik ClickFix yang terkenal, yang bertujuan menipu orang agar menginfeksi diri mereka sendiri dengan menyalin dan menempelkan kode atau menjalankan perintah tertentu pada sistem mereka. Dalam kasus ini, penerima diberitahu untuk memperbaiki BSOD dengan menyalin dan menempelkan skrip berbahaya ke dalam kotak dialog Run Windows.

Terjebak oleh taktik ClickFix akan menjalankan perintah PowerShell yang mengunduh dan menjalankan file proyek MSBuild bernama v.proj. Pada titik ini, malware bahkan cukup cerdas untuk menonaktifkan Windows Defender agar dapat berlanjut tanpa terdeteksi. Ia juga membangun persistensi dengan menyiapkan dirinya sebagai URL di folder startup, sehingga dimuat secara otomatis setiap kali Windows diluncurkan.

Juga: Serangan siber baru ini menipu Anda untuk meretas diri sendiri. Begini cara mendeteksinya

Jika korban telah termakan umpan sejauh ini, muatan akhirnya adalah versi tersamarkan dari DCRat, sebuah trojan yang mampu membangun akses jarak jauh, mencatat ketikan (keystrokes), menjalankan kode berbahaya melalui proses yang sah (legitimate), dan memasang muatan sekunder.

Para penyerang telah mengandalkan beberapa faktor untuk membuat kampanye ini sukses. Pertama, kampanye ini diluncurkan selama musim liburan yang biasanya sibuk bagi industri perhotelan. Kedua, ia mengeksploitasi Booking.com, situs yang pernah disalahgunakan di masa lalu dan tetap populer di kalangan penipu.

Email phishing tersebut mencantumkan biaya kamar dalam euro, sebuah indikasi bahwa serangan telah menargetkan hotel dan bisnis serupa di Eropa. Penyertaan bahasa Rusia dalam file MSBuild “v.project” mengaitkan kampanye ini dengan penyerang Rusia yang menggunakan DCRat.

Karena kampanye ini menyasar industri hospitality, pengguna rumahan rata-rata kemungkinan tidak akan terdampak. Namun bagi organisasi dan individu yang menjadi sasaran, Securonix menawarkan tips berikut untuk menghadapi ancaman tersebut.

• Kesadaran Pengguna. Edukasi karyawan Anda tentang taktik ClickFix. Peringatkan mereka terhadap email apa pun yang meminta mereka untuk menempelkan kode di kotak Run Windows atau terminal PowerShell, terutama jika dipicu oleh BSOD atau jenis kesalahan lain.
• Waspadai Email Phishing. Berhati-hatilah terhadap email yang mengaku berasal dari layanan hospitality seperti Booking.com, khususnya yang memiliki permintaan finansial mendesak. Verifikasi semua email semacam itu melalui saluran resmi alih-alih mengklik tautan yang disertakan.
• Pantau Penggunaan MSBuild.exe. Siapkan pemantauan untuk penggunaan file MSBuild.exe. Pastikan Help Desk atau staf IT Anda mendapatkan peringatan atas kejadian di mana MSBuild.exe menjalankan file proyek dari folder yang tidak biasa atau mencoba memulai koneksi jaringan eksternal.
• Pantau File Eksekusi Lainnya. Pantau file eksekusi sah (legitimate) lainnya seperti aspnet_compiler.exe, RegSvcs.exe, dan RegAsm.exe. Waspadai aktivitas aneh atau tidak biasa, seperti membangun koneksi jaringan keluar ke alamat IP yang tidak dikenal melalui port yang tidak umum.
• Pantau File Mencurigakan. Siapkan pemantauan untuk mendeteksi pembuatan tipe file mencurigakan, seperti file .proj dan .exe. Berikan perhatian khusus jika file tersebut dibuat di folder ProgramData Windows atau folder startup Windows.
• Aktifkan Pencatatan PowerShell. Siapkan PowerShell Script Block Logging di Windows Event Viewer (Event ID 4104) untuk mencatat dan menganalisis konten skrip yang dieksekusi.