Memikat pengguna di media sosial untuk mengunjungi situs yang terihat mirip dengan web populer yang memunculkan jendela instalasi ekstensi Chrome yang terlihat sah adalah salah satu modus yang paling umum dan menjadi tren di kalangan penjahat siber untuk menyebarkan malware.
Dengan penyebarannya yang makin masif, ESET memperingatkan pengguna internet agar lebih berhati-hati dan teliti agar terhindar dari kampanye malware baru yang telah aktif setidaknya sejak Maret 2018 dan telah menginfeksi lebih dari 100.000 pengguna di seluruh dunia.
Dijuluki Nigelthorn, malware menyebar dengan cepat melalui tautan dengan teknik social engineering di Facebook dan menginfeksi sistem korban dengan ekstensi peramban berbahaya yang mencuri kredensial media sosial mereka, memasang penambang cryptocurrency, dan melibatkan mereka dalam penipuan klik. Malware didorong melalui setidaknya tujuh ekstensi peramban Chrome yang berbeda, semua di-hosting di Toko Web Chrome resmi Google.
Ekstensi peramban Chrome yang berbahaya ini oleh operator malware disisipkan menggunakan salinan ekstensi Google Chrome yang sah dan menyuntikkan skrip berbahaya yang diperpendek dan disamarkan ke dalamnya untuk melewati pemeriksaan validasi ekstensi Google.
Para peneliti menamakan malware Nigelthorn setelah mengetahui jika salah satu ekstensi berbahaya yang ada merupakan salinan ekstensi Nigelify populer yang dirancang untuk menggantikan semua gambar pada halaman web dengan gifs Nigel Thornberry, dari sinilah asal kata Nigelthorn muncul.
YouTube Palsu dan Pencuri Password
Nigelthorn menyebar melalui tautan yang direkayasa secara sosial di Facebook, yang jika diklik mengarahkan korban ke halaman YouTube palsu, meminta mereka untuk mengunduh ekstensi Chrome berbahaya, untuk dapat memutar video. Setelah diinstal, ekstensi mengeksekusi kode JavaScript yang membuat komputer korban menjadi bagian dari botnet.
Setelah itu malware baru fokus pada pencurian kredensial untuk akun Facebook dan Instagram korban dan mengumpulkan berbagai rincian dari akun Facebook mereka dan memanfaatkan berbagai data di dalamnya termasuk pertemanan korban di media sosial.
Informasi yang dicuri ini kemudian digunakan untuk mengirim tautan yang di dalamnya berisi program jahat ke teman-teman dari orang yang terinfeksi dalam upaya untuk menyebarkan ekstensi jahat yang sama, lebih jauh dan meluas. Jika ada teman-teman yang mengklik tautan tersebut, seluruh proses infeksi dimulai lagi dengan sirkulasi yang serupa.
Penambangan Mata Uang Virtual
NigelThorn juga mengunduh alat penambangan cryptocurrency berbasis browser yang tersedia untuk publik sebagai plugin untuk memicu sistem yang terinfeksi untuk memulai penambangan cryptocurrency, termasuk Monero, Bytecoin, atau Electroneum.
Dalam jangka waktu hanya enam hari saja, para pelaku tampaknya menghasilkan sekitar $1.000 dalam cryptocurrency, kebanyakan Monero.
Nigelthorn juga gigih untuk mencegah pengguna menghapus ekstensi jahat, secara otomatis menutup tab ekstensi setiap kali pengguna membukanya untuk mencegah penghapusan. Malware ini juga blacklist berbagai alat pembersih yang ditawarkan oleh Facebook dan Google dan bahkan mencegah pengguna melakukan pengeditan, menghapus posting dan membuat komentar.
Daftar Ekstensi Chrome Berbahaya
Berikut adalah nama dari semua tujuh ekstensi yang menyamar sebagai ekstensi yang sah:
-
Nigelify
-
PwnerLike
-
Alt-j
-
Fix-case
-
Divinity 2 Sin Asli: Wiki Skill Popup
-
Keeprivate
-
iHabno
Meskipun Google telah menghapus semua ekstensi yang tercantum di atas, jika Anda telah menginstal salah satu dari mereka, disarankan untuk segera menghapusnya dan mengubah kata sandi untuk Facebook, Instagram dan juga untuk akun lain di mana Anda menggunakan kredensial yang sama. Karena kampanye Facebook Spam cukup umum, pengguna disarankan untuk waspada saat mengklik tautan dan file yang disediakan melalui platform situs media sosial.
Sumber berita:
