Iklan yang menarik atau mencurigakan ?

Development
Iklan yang menarik atau mencurigakan ?

Pada bulan Juni kemarin, tepatnya tanggal 14 lagi scroll fb dan nemu iklan yang menarik tentang AI buatan google si Bard ini, tapi hal yang bikin menarik dari iklan tersebut adalah kolom komentarnya, langsung cek komen

verified accounts

lha kok yang komentar akun yang centang biru semua, lha kok ada politisi Indonesia yang ikutan komen ? apa hubungannya politik dengan si google bard ini ? lalu komentar yang ada pada post tersebut juga menunjukan sentimen yang positif

pas dicek link websitenya ternyata merupakan salah satu service dari google yaitu sites.google.com yang mana siapapun bisa membuat website dengan “pinjam” subdomain sites.google.com, lalu terdapat link download melalui link attachment trello dan file tersebut dalam bentuk zip dengan password 888 / 999

google site

karena penasaran coba ah download si “google bard” ini, ternyata isinya installer, coba run si installer di any.run gak nemu apa-apa

any run result

karena hasil dari any run kurang menjawab rasa penasaran ini lanjut coba cek file installer ini pake malcat dan terdapat beberapa file namun ada 2 file yang menarik yaitu cab file / archive file dan PE file, kita coba dump to file pada 2 file ini yang ada pada file msi yang didapatkan tadi

malcat

dari file cab tersebut ternyata ada bat file yang ngereload chrome dengan suatu extensi, ternyata ektensi yang diload pada chrome adalah file cab itu sendiri, hal ini dapat dilihat dari struktur filenya sangat common sekali dengan extension file di chrome (terdapat file manifest.json dengan struktur extension chrome, malware ini bersembunyi dibalik nama google translate)

cab

batfile

manifest

dari file cab / extensi ini terdapat beberapa javascript yang telah di-obfuscated, mari kita coba deobuscated

ya kurang lebih ya buat ambil data-data yang tersimpan di browser terutama data akun fb korban dan menambahkan akun penyerang di akses kontrol facebook pages serta melakukan hijacking akun facebook merubah nama menjadi bard google / sejenis dan melakukan postingan yang serupa (post malwared ads + komen)

steal

pada virus total file cab / extensi ini tidak terdeteksi sebagai malware namun beberapa file didalamnya dideteksi sebagai malware
https://www.virustotal.com/gui/file/2f4adbb7e2cfd0af4c4b631b40bb7417b67926dda56a453367534c7bfc73a882/relations
https://www.virustotal.com/gui/file/09d02d18a2bb19342a2732b55223950cb1f04d0e278c0a98bd2a92bcba0f9dbc/detection
https://www.virustotal.com/gui/file/5ba6b38c1ec1434f06aa2a14c66d264222b78b406bb9c35b5b053e4438dae5b1/detection
https://www.virustotal.com/gui/file/533766e3ba7a6d11084fdd03c0cf1f89117695db4d3d3184e7b0e605c992d9c0/detection

Lesson Learned

jangan langsung percaya dengan iklan, selalu cek ricek.
review kembali extension pada browser kita, kalo ada yang mencurigakan, hapus!.
ajari tim sosmed kita agar tidak sembarangan install-install aplikasi.
jangan terlalu fomo

ada PE file tersisa, karena keterbatasan pengetahuan terhadap PE files maka hanya ini saja yang bisa ditulis

jadi iklan ini menarik / mencurigakan ? selamat beraktifitas kembali

artikel serupa:
https://www.whalebone.io/post/sponsored-facebook-ads-spread-password-stealing-malware-masked-as-google-bard
https://factly.in/malicious-links-masquerading-as-google-bard-ai-are-shared-in-social-media-ads/
https://dfrlab.org/2023/04/17/malware-masquerading-as-google-bard-ads-targets-millions-of-facebook-users/

Special Thanks:
https://surabayahackerlink.org/
Jeff Anzos