Credit image: Pixabay
Wajam Internet Technologies adalah perusahaan baru yang didirikan pada Desember 2008 oleh Martin-Luc Archambault, pengusaha terkenal di Quebec dan berbasis di Montreal, Kanada. Produk inti perusahaan adalah aplikasi mesin pencari sosial, mis. Memungkinkan pencarian melalui konten yang dibagikan oleh kontak Anda di jejaring sosial.
Perangkat lunak itu sendiri bebas untuk menginstal. Namun, ia menghasilkan pendapatan melalui tampilan iklan kontekstual. Mengenai distribusinya, ekstensi browser pada awalnya tersedia dari situs web resmi Wajam hingga 2014, tetapi sekarang didistribusikan terutama menggunakan model distribusi Pay-Per-Install (PPI). Menurut Kantor Komisaris Privasi (OPC) Kanada, Wajam telah menggunakan lebih dari 50 penyedia PPI yang berbeda antara tahun 2011 dan 2016. Model ini telah dikritik beberapa kali karena penggunaan Adobe Flash Player palsu, antivirus, dan banyak lagi yang populer lainnya. penginstal perangkat lunak untuk menipu pengguna, dan kehadiran adware dan malware dalam penginstal yang disediakan.
Versi Wajam
Beberapa versi Wajam telah dikembangkan selama bertahun-tahun. Karena pengembang menggunakan nama internal dan penomoran versi untuk membedakan varian dan versi yang berbeda
Setiap versi Wajam menyuntikkan muatan yang sama ke lalu lintas web pengguna, jadi perbedaannya terletak pada teknik yang digunakan untuk melakukan intersepsi dan injeksi. Namun, teknik yang mereka gunakan menjadi semakin mirip dengan teknik yang biasanya digunakan oleh pengembang malware. Begitu Wajam diinstal pada mesin maka lalu lintas web siap dicegat.
Versi yang lebih lama dari ekstensi browser berisi jejak plugin screen capture dalam DLL yang menyertai ekstensi. Yang terakhir menggunakan API Plugin Netscape untuk Chrome dan Firefox atau Browser Helper Object (untuk Internet Explorer).
Dalam versi yang sama, kode JavaScript digunakan untuk mengirim bookmark browser ke server Wajam. Baik itu tangkapan layar atau bookmark, keduanya dapat berisi informasi pribadi yang sensitif tentang pengguna dan orang mungkin bertanya-tanya apa yang Wajam lakukan dengan informasi semacam ini. Tidak ada fungsi yang hadir dalam versi ekstensi saat ini.
Karena perangkat lunak mereka terdeteksi sebagai adware oleh berbagai produk keamanan, Wajam pertama-tama mencoba untuk menghilangkan deteksi dengan meminta vendor keamanan secara langsung.
Wajam semakin banyak mengumpulkan informasi tentang penggunanya, baik selama instalasi atau ketika perangkat lunak berjalan:
- Beberapa ID digunakan untuk mengidentifikasi pengguna tertentu.
- Banyak log dikirim ke server Wajam selama proses instalasi untuk memastikan itu dilakukan dengan benar.
- Beberapa informasi khusus untuk pengaturan pengguna seperti daftar perangkat lunak yang diinstal dan model mesin juga dikirim ke server Wajam.
Kronik Versi Wajam
Kecuali untuk ekstensi browser, semua versi didistribusikan sebagai penginstal NSIS oleh penyedia Pay-Per-Install. Juga, jalur PDB menunjukkan bagaimana para pengembang secara bertahap mengaburkan perangkat lunak mereka selama bertahun-tahun.
Hingga 2011 hingga akhir 2013, Wajam didistribusikan sebagai ekstensi browser. Dalam ekstensi browser web, file manifes menggambarkan halaman web yang akan disuntikkan, dan bagaimana kode JavaScript disuntikkan ke halaman tersebut jika dikunjungi oleh pengguna. Semua halaman web dicocokkan di sini, sehingga skrip dapat berpotensi disuntikkan di setiap halaman web yang dikunjungi oleh pengguna.
Pada 2014, ESET mengamati perubahan dalam strategi Wajam. Perangkat lunak mereka tidak lagi tersedia sebagai ekstensi browser; tautan unduhannya dihapus dari situs web resmi mereka (wajam [.] com) dan versi baru untuk Windows menggunakan proxy web Fiddler, didistribusikan oleh penyedia PPI.
Sementara Wajam dalam Warhammer fantasy ketimbang menggunakan proxy pihak ketiga, ia malah menyuntikkan DLL ke browser web untuk mengaitkan fungsi yang memanipulasi lalu lintas non-terenkripsi. Menariknya, versi ini menggunakan beberapa teknik penyamaran seperti enkripsi string, Mengenai proses injeksi DLL itu sendiri, dapat dicapai dengan cara yang berbeda tergantung pada parameter yang diberikan kepada injektor.
Untuk menghadapi mekanisme keamanan baru, versi lain dari Wajam dirilis pada pertengahan 2016 yang menambahkan banyak fitur baru, termasuk driver NetFilter untuk mencegat dan menyuntikkan lalu lintas langsung ke ruang kernel. Salah satu dari banyak perubahan lain dengan versi ini adalah perlindungan terhadap deteksi.
Mulai tahun 2017, adware baru Wajam yang bernama SearchPage dan sistem macOS penargetan terdeteksi. Analisis menunjukkan bahwa ia menggunakan beberapa nama domain yang juga digunakan dalam versi Windows terbaru. Didistribusikan sebagai bundel aplikasi macOS yang disebut spiinstall.app, yang menginstal plugin Safari dan sertifikat di gantungan kunci (placeholder sertifikat root pada macOS). Plugin ini menyuntikkan lalu lintas dengan cara yang mirip dengan versi Windows.
Versi lain yang ditemukan pada pertengahan 2018 menggunakan mitmproxy yaitu proxy web yang ditulis dengan Python daripada dengan ekstensi Safari untuk mencegat lalu lintas web.
Implikasi Ancaman
Penelitian ini mengungkapkan bahwa meskipun pengalihan kepemilikan ke perusahaan Hong Kong, Wajam masih sangat aktif dan dengan berbagai nama, seperti SearchAwesome, Social2Search, SearchPage dan lain-lain. ESET mengira ini digunakan untuk menutupi jejak mereka dan memperluas kehadiran mereka dengan bantuan distribusi PPI.
Analisis ESET menunjukkan bahwa teknik yang digunakan oleh Wajam untuk menyuntikkan lalu lintas menjadi semakin licik dan persisten saat versi yang lebih baru dirilis. Mereka mulai dengan ekstensi browser sederhana di 2011, beralih ke metode proxy pada akhir 2013, kemudian mulai 2014 mereka langsung menyuntikkan kode ke browser web untuk menghubungkan fungsi komunikasi jaringan, dan sekarang menggunakan driver untuk memotong lalu lintas langsung di ruang kernel. Berbagai perubahan ini sebagian besar merupakan respons terhadap peningkatan perlindungan keamanan yang dibangun ke dalam browser atau OS selama bertahun-tahun.
Menggunakan teknik-teknik semacam ini menyiratkan ada peluang untuk dideteksi oleh produk keamanan, dan ini telah terjadi pada Wajam. Bahkan jika sejarah perusahaan menunjukkan mereka pertama kali mencoba meminta penghapusan deteksi (2012-2013), mereka dengan cepat mengubah strategi mereka (2014) untuk lebih memilih penggunaan penyamaran, perlindungan kode dan teknik anti-deteksi yang menyembunyikan perilaku sebenarnya dari perangkat lunak mereka. Kasing Wajam mengingatkan kita masih ada daerah abu-abu ketika berbicara tentang adware dan PUA (Potentially Unwanted Applications) atau Aplikasi yang Mungkin Tidak Diinginkan.
Sumber berita:
www.welivesecurity.com
