VMware dan Microsoft memperingatkan bahaya malware Chromeloader yang sedang berlangsung dan meluas yang telah berkembang menjadi ancaman yang lebih besar,
Ancaman ini terpantau menyusupkan ekstensi browser berbahaya, malware node-WebKit, dan bahkan ransomware dalam beberapa kasus.
Baca juga: Jutaan Seluler Terinfeksi Malware |
Pembajak Peramban Pencuri Info
Infeksi Chromeloader melonjak pada awal 2022, dengan para peneliti memperingatkan tentang bahaya pembajak peramban yang digunakan untuk afiliasi pemasaran dan penipuan iklan.
Saat itu, malware menginfeksi Chrome dengan ekstensi berbahaya yang mengarahkan lalu lintas pengguna ke situs iklan untuk melakukan penipuan klik dan menghasilkan pendapatan bagi pelaku ancaman.
Beberapa bulan kemudian Chromeloader berkembang menjadi pencuri info, mencoba mengambil data yang disimpan di browser sambil mempertahankan fungsi adwarenya.
Pada Jumat malam, Microsoft memperingatkan tentang “kampanye penipuan klik luas yang sedang berlangsung” yang dikaitkan dengan aktor ancaman yang dilacak sebagai DEV-0796 menggunakan Chromeloader untuk menginfeksi korban dengan berbagai malware.
Hari ini, analis di VMware menerbitkan laporan teknis yang menjelaskan berbagai varian Chromeloader yang digunakan pada bulan Agustus dan bulan ini, beberapa di antaranya menurunkan muatan yang jauh lebih kuat.
File ISO
Malware ChromeLoader dikirimkan dalam file ISO yang didistribusikan melalui iklan berbahaya, pengalihan browser, dan komentar video YouTube.
File ISO telah menjadi metode populer untuk mendistribusikan malware sejak Microsoft mulai memblokir makro Office secara default.
Selanjutnya, ketika mengklik dua kali pada ISO di Windows 10 dan yang lebih baru, mereka secara otomatis dipasang sebagai CDROM di bawah huruf drive baru, menjadikannya cara yang efisien untuk mendistribusikan beberapa file malware sekaligus.
ISO ChromeLoader biasanya berisi empat file, sebagai berikut:
- Arsip ZIP yang berisi malware.
- File ICON.
- File batch (biasanya bernama Resources.bat) yang menginstal malware.
- Dan pintasan Windows yang meluncurkan file batch.
Baca juga: Malware Sality Serang ICS |
Varian-varian Baru
Sebagai bagian dari penelitian, VMware mengambil sampel setidaknya sepuluh varian Chromeloader sejak awal tahun, dengan yang paling menarik muncul setelah Agustus.
- Contoh pertama adalah program yang meniru OpenSubtitles, sebuah utilitas yang membantu pengguna menemukan subtitle untuk film dan acara TV.
- Dalam kampanye ini, pelaku ancaman pindah dari file “Resources.bat” mereka yang biasa dan beralih ke file bernama “properties.bat,” yang digunakan untuk menginstal malware dan membangun kegigihan dengan menambahkan kunci Registry.
- Kasus penting lainnya adalah “Flbmusic.exe,” meniru pemutar Musik FLB, menampilkan runtime Electron dan memungkinkan malware memuat modul tambahan untuk komunikasi jaringan dan pengintaian port.
- Untuk beberapa varian, serangan berubah menjadi sedikit destruktif, mengekstraksi ZipBombs yang membebani sistem dengan operasi pembongkaran besar-besaran.
- Baru-baru ini pada akhir Agustus, ZipBombs terlihat disusupkan ke sistem yang terinfeksi. ZipBomb dijatuhkan dengan infeksi awal dalam arsip yang diunduh pengguna.
- Pengguna harus mengklik dua kali agar ZipBomb dapat dijalankan. Setelah dijalankan, malware menghancurkan sistem pengguna dengan membebaninya dengan data.
- Yang lebih memprihatinkan, varian Chromeloader terbaru terlihat menyebarkan ransomware Enigma dalam file HTML.
Enigma adalah jenis ransomware lama yang menggunakan penginstal berbasis JavaScript dan executable tertanam sehingga dapat diluncurkan langsung dari browser default.
Setelah enkripsi selesai, ekstensi nama file “.enigma” ditambahkan ke file, sementara ransomware menjatuhkan file “readme.txt” yang berisi instruksi untuk korban.
Baca juga: Jutaan Malware Android Menyebar Melalui Play Store |
Jangan Abaikan Malware
Karena adware tidak menyebabkan kerusakan signifikan pada sistem korban selain memakan bandwidth, biasanya adware merupakan ancaman yang diabaikan atau diremehkan oleh analis.
Namun, setiap perangkat lunak yang bersarang ke dalam sistem tanpa terdeteksi adalah kandidat untuk masalah yang lebih signifikan, karena pembuatnya mungkin menerapkan modifikasi yang memfasilitasi opsi monetisasi yang lebih agresif.
Meskipun Chromeloader dimulai sebagai adware, ini adalah contoh sempurna tentang bagaimana pelaku ancaman bereksperimen dengan muatan yang lebih kuat, menjelajahi alternatif yang lebih menguntungkan untuk penipuan iklan.
Baca lainnya: |
Sumber berita: