SITUS WORDPRESS SEDANG DIBAJAK UNTUK MENAMPILKAN HALAMAN CLOUDFLARE DDOS PROTECTION PALSU
Para peneliti dari perusahaan keamanan siber Sucuri mengatakan bahwa Situs WordPress sedang dibajak dengan menampilkan halaman Cloudflare DDoS protection palsu. Halaman tersebut digunakan untuk mendistribusikan malware yang akan menginstal NetSupport RAT dan Trojan pencuri kata sandi, RaccoonStealer. Cloudflare DDoS protection page merupakan halaman khusus yang digunakan untuk melindungi situs dari bot-bot yang melakukan permintaan palsu dengan membanjiri situs tersebut dengan spam traffic.
Disebutkan juga bahwa situs WordPress yang diretas adalah situs-situs yang tidak terlindungi oleh sistem keamanan yang baik. Peretas kemudian menambahkan muatan JavaScript ke dalam situs tersebut yang kemudian akan menampilkan layar Cloudflare DDOS protection palsu. Pada layar tersebut, pengunjung diminta untuk mengklik tombol Cloudflare DDOS protection. Namun setelah di klik, tombol tersebut ternyata mengunduh file ‘security_install.iso’ ke komputer korban. File tersebut berpura-pura menjadi alat yang dibutuhkan untuk melewati verifikasi DDoS.
Setelah pengunduhan selesai, korban diminta untuk memasukan sejumlah kode yang tertampil di layar untuk melakukan verifikasi. Setelah itu korban diarahkan untuk membuka file security_install.iso yang menyamar sebagai aplikasi DDoS Guard. Setelah file tersebut dibuka, korban akan menemukan file yang dinamakan security_install.exe yang sebenarnya adalah pintasan Windows untuk menjalankan perintah PowerShell dari file debug.txt.
Tanpa disadari oleh korban, serangkaian skrip yang telah dijalankan akan menampilkan kode DDoS palsu untuk memantau situs target, menginstal NetSupport RAT yaitu trojan akses jarak jauh yang digunakan secara ekstensif oleh peretas. Selain itu skrip jahat juga akan mengunduh trojan pencuri kata sandi yang dinamakan Raccoon Stealer ke perangkat.
Berdasarkan saran keamanan para ahli dari Sucuri, kebanyakan file yang bertema WordPress selalu dijadikan sebagai titik masuk untuk melakukan infeksi perangkat. Untuk itu para admin disarankan agar selalu memeriksa file-file bertema WordPress yang dimiliki. Selain itu disarankan untuk menggunakan file integrity monitoring systems guna mencegah Java Script Injection attack yang bertujuan menjadikan situs WordPress sebagai titik distribusi trojan RAT. Pengguna internet dapat melindungi perangkat dari ancaman serangan dengan mengaktifkan pengaturan pemblokiran skrip yang ketat di browser mereka, meskipun hal tersebut berpotensi merusak fungsionalitas situs. Terakhir dan yang harus diingat bahwa tidak disarankan untuk mengunduh file ISO pihak ketiga karena hal tersebut bukan menjadi bagian dari prosedur keamanan anti-DDoS resmi.
Sumber:
Leave a Reply
Want to join the discussion?Feel free to contribute!