image credit: Pixabay.com
Dunia siber kembali dipanaskan dengan munculnya situs Chrome abal-abal distributor malware berbahaya yang secara menyakinkan mengelabui pengguna internet.
Situs web palsu yang mengiklankan Google Chrome telah digunakan untuk mendistribusikan penginstal berbahaya untuk trojan akses jarak jauh yang disebut ValleyRAT.
Malware tersebut pertama kali terdeteksi pada tahun 2023, dikaitkan dengan pelaku ancaman yang dilacak sebagai Silver Fox.
Yang pada serangan sebelumnya menargetkan wilayah berbahasa Mandarin seperti Hong Kong, Taiwan, dan Tiongkok Daratan.
Pelaku ini semakin menargetkan peran penting dalam organisasi terutama di departemen keuangan, akuntansi, dan penjualan menyoroti fokus strategis pada posisi bernilai tinggi dengan akses ke data dan sistem sensitif.
Serangan awal telah diamati mengirimkan ValleyRAT bersama keluarga malware lain seperti Purple Fox dan Gh0st RAT, yang terakhir telah banyak digunakan oleh berbagai kelompok peretas Tiongkok.
Baru-baru ini bulan lalu, penginstal palsu untuk perangkat lunak yang sah telah berfungsi sebagai mekanisme distribusi untuk trojan tersebut melalui pemuat DLL bernama PNGPlug.
Perlu dicatat bahwa skema drive by download yang menargetkan pengguna Windows berbahasa Mandarin sebelumnya digunakan untuk menyebarkan Gh0st RAT menggunakan paket penginstal berbahaya untuk peramban web Chrome.
|
Baca juga: Ekstensi Chrome Pencuri Password Facebook |
Situs Google Chrome Palsu
Dengan cara yang sama, rangkaian serangan terbaru yang terkait dengan ValleyRAT melibatkan penggunaan situs web Google Chrome palsu untuk mengelabui target agar mengunduh arsip ZIP yang berisi file yang dapat dieksekusi (“Setup.exe”).
Peneliti keamanan mengungkapkan bahwa ada bukti yang menghubungkan kedua kluster aktivitas tersebut, dan bahwa situs penginstal Chrome yang menipu tersebut sebelumnya dimanfaatkan untuk mengunduh muatan Gh0st RAT.
Operasi ini secara khusus menargetkan pengguna berbahasa Mandarin, seperti yang ditunjukkan oleh penggunaan umpan web berbahasa Mandarin dan aplikasi yang ditujukan untuk pencurian data dan penghindaran pertahanan oleh malware.
Tautan ke situs Chrome palsu terutama didistribusikan melalui skema drive by download. Pengguna yang mencari peramban Chrome diarahkan ke situs jahat ini.
Yakni tempat mereka yang secara tidak sengaja mengunduh penginstal palsu. Metode ini mengeksploitasi kepercayaan pengguna terhadap unduhan software yang sah.
Lalu biner pengaturan setelah dijalankan memeriksa apakah ia memiliki hak istimewa administrator dan kemudian mengunduh empat muatan tambahan.
Muatan tersebut adalah file yang dapat dieksekusi yang sah yang terkait dengan Douyin (“Douyin.exe”), TikTok versi Tiongkok, yang digunakan untuk melakukan sideload DLL jahat (“tier0.dll”), yang kemudian meluncurkan malware ValleyRAT.
Fungsionalitas Lain
Fungsionalitas lain yakni melalui file DLL (“sscronet.dll”), yang bertanggung jawab untuk menghentikan setiap proses yang sedang berjalan yang ada dalam daftar pengecualian.
Selain itu, malware ini dikompilasi dalam bahasa Tiongkok dan ditulis dalam C++, ValleyRAT adalah trojan yang dirancang untuk:
- Memantau konten layar.
- Mencatat penekanan tombol.
- Dan membangun persistensi pada host.
Ia juga mampu memulai komunikasi dengan server jarak jauh untuk menunggu instruksi lebih lanjut yang memungkinkannya untuk:
- Menghitung proses.
- Mengunduh DLL.
- Mengeksekusi DLL dan biner sembarangan,
Untuk penyuntikan muatan, penyerang menyalahgunakan eksekusi yang ditandatangani secara sah yang rentan terhadap pembajakan perintah pencarian DLL.
Demikian informasi mengenai situs Chrome abal-abal distributor malware berbahaya, semoga dapat menambah wawasan dan memberi manfaat bagi para pembaca.
Sumber berita:
