Peneliti keamanan di ReasonLabs telah menemukan kampanye malware polimorfik baru yang tersebar luas dan berkelanjutan yang secara paksa memasang ekstensi browser berbahaya di titik akhir.
Penginstal dan ekstensi yang menyebar secara global telah memengaruhi sedikitnya 300.000 pengguna di Google Chrome dan Microsoft Edge, memodifikasi eksekusi browser untuk membajak beranda dan mencuri riwayat penelusuran.
Malware trojan, yang biasanya tidak terdeteksi oleh alat antivirus, berisi berbagai macam hasil mulai dari ekstensi adware sederhana yang mengambil alih pencarian hingga skrip berbahaya yang lebih kompleks yang memberikan ekstensi lokal untuk mencuri data pribadi dan menjalankan berbagai perintah pada perangkat yang terinfeksi.
Sejak tahun 2021, malware trojan ini berasal dari situs web tiruan yang menyediakan unduhan dan add-on untuk permainan dan video daring.
Bagaimana Cara Kerja Malware?
ReasonLabs mengatakan infeksi dimulai dengan korban mengunduh penginstal perangkat lunak melalui situs web palsu yang dipasarkan melalui malvertising di hasil Google Search. Pengiklan menggunakan tiruan situs unduhan seperti Roblox FPS Unlocker, YouTube, VLC Media Player, atau KeePass. File yang dapat dieksekusi yang diunduh dari situs web palsu ini bahkan tidak mencoba menginstal perangkat lunak yang dimaksud, tetapi malah menyebarkan trojan.
“Setelah pengguna mengunduh program dari situs web yang mirip, program tersebut mendaftarkan tugas terjadwal menggunakan nama samaran yang mengikuti pola nama file skrip PowerShell, seperti Updater_PrivacyBlocker_PR1, MicrosoftWindowsOptimizerUpdateTask_PR1, dan NvOptimizerTaskUpdater_V2”, kata peneliti ReasonLabs.
“Dikonfigurasi untuk menjalankan skrip PowerShell dengan nama yang mirip “-File C:/Windows/System32/NvWinSearchOptimizer.ps1″. Skrip PowerShell mengunduh muatan dari server jarak jauh dan menjalankannya di komputer.”
Skrip PowerShell ditulis ke folder system32, yang memanggil skrip tahap kedua dari C2 langsung ke memori. Ketika skrip PowerShell akhirnya dijalankan, skrip tersebut menambahkan nilai registri untuk memaksa pemasangan ekstensi berbahaya. Ekstensi ini mencuri kueri penelusuran dan mengarahkannya melalui penelusuran penyerang, sehingga tidak dapat dideteksi bahkan dengan Mode Pengembang 'AKTIF'.
Skrip tersebut kemudian memasang ekstensi berbahaya dengan memodifikasi kunci registri Chrome dan Edge, sehingga menonaktifkannya menjadi lebih sulit melalui pengaturan browser biasa. Ekstensi tersebut melakukan beberapa aktivitas berbahaya, termasuk membajak pencarian dari mesin pencari yang dikenal dan mengarahkannya melalui domain yang dikendalikan penyerang sebelum akhirnya menampilkan hasil dari mesin pencari yang sah seperti Yahoo atau Bing.
ReasonLabs melaporkan bahwa iterasi terbaru Trojan memodifikasi file DLL inti browser yang digunakan oleh Google Chrome dan Microsoft Edge untuk menangkap beranda browser menjadi beranda yang berada di bawah kendali pelaku ancaman, seperti https://pencarian mikro[.]Saya/.
“Tujuan skrip ini adalah untuk menemukan DLL dari browser (msedge.dll jika Edge adalah yang default) dan mengubah byte tertentu di lokasi tertentu di dalamnya,” jelas ReasonLabs.
“Dengan melakukan hal itu, skrip dapat membajak pencarian default dari Bing atau Google ke portal pencarian milik penyerang. Skrip akan memeriksa versi browser mana yang terinstal dan mencari byte yang sesuai.”
Tim Riset ReasonLabs segera memberi tahu Google dan Microsoft setelah menemukan pelanggaran tersebut. Meskipun Microsoft telah menghapus semua ekstensi berbahaya yang teridentifikasi dari Edge Add-ons Store, beberapa ekstensi yang terlibat masih ada di Google Chrome Web Store.
Sementara itu, pengguna disarankan untuk mengunduh ekstensi hanya dari sumber tepercaya, berhati-hati saat mengunduh perangkat lunak dari situs web yang tidak dikenal, dan selalu memperbarui perangkat lunak antivirus mereka.