Malware Chromeloader Menjatuhkan Ekstensi Browser Berbahaya untuk Melacak Aktivitas Online

  • Whatsapp
Malware Chromeloader Menjatuhkan Ekstensi Browser Berbahaya untuk Melacak Aktivitas Online
Malware Chromeloader Menjatuhkan Ekstensi Browser Berbahaya untuk Melacak Aktivitas Online
Malware Chromeloader Menjatuhkan Ekstensi Browser Berbahaya untuk Melacak Aktivitas Online Pengguna

Kampanye malware Chromeloader yang sedang berlangsung dan tersebar luas telah diperingatkan oleh Microsoft dan VMware. Telah diidentifikasi bahwa kampanye jahat ini menjatuhkan malware dan ransomware node-WebKit, serta ekstensi browser yang berbahaya.

ChromeLoader diamati di alam liar untuk pertama kalinya pada Januari 2022 untuk pengguna Windows dan pada Maret 2022 untuk pengguna Mac oleh tim VMware Carbon Black Managed Detection and Response (MDR).

ChromeLoader adalah salah satu program malware paling luas dan persisten di web. Lonjakan infeksi Chromeloader terjadi pada Q1 2022, dengan peneliti keamanan siber dari Red Canary berteori bahwa malware digunakan oleh pemasar afiliasi dan pengiklan untuk menipu uang mereka.

Untuk melakukan penipuan klik dan mendapatkan uang untuk pelaku ancaman, malware menginfeksi Chrome dengan ekstensi berbahaya untuk mengarahkan lalu lintas pengguna ke situs web periklanan.

Analisis Teknis

Yang jahat kampanye yang menyebabkan masalah ini ditelusuri kembali ke aktor ancaman yang dilacak sebagai DEV-0796 yang menginfeksi korban dengan beberapa jenis malware yang berbeda dengan menggunakan Chromeloader.

Selain ChromeLoader, ada beberapa varian program seperti ChromeBack dan Choziosi Loader yang dikenal.

Malware bernama ChromeLoader dikirimkan dalam bentuk file ISO yang dapat diunduh dari salah satu sumber berikut:-

  • Iklan berbahaya
  • Pengalihan browser
  • komentar video YouTube

Setelah Microsoft mulai memblokir makro Office secara default, file ISO telah menjadi salah satu metode paling populer untuk mendistribusikan malware.

Selain itu, Windows 10 dan yang lebih baru secara otomatis memasang file ISO sebagai CDROM saat mengklik dua kali. Dengan demikian, mereka menyediakan metode yang efisien untuk menyebarkan beberapa file malware secara bersamaan.

Ada empat file yang biasanya disertakan dalam ISO ChromeLoader:-

  • Arsip ZIP yang berisi malware
  • File ICON
  • File batch (biasanya bernama Resources.bat)

File batch kemudian dibuat, yang meluncurkan program batch, dan diinstal bersama dengan malware.

Dalam beberapa bulan terakhir, VMware telah menguji beberapa variasi Chromeloader, tetapi yang paling menarik muncul setelah Agustus ketika VMware mulai mengujinya untuk pertama kalinya.

Sebuah program meniru OpenSubtitles dapat dilihat sebagai contoh pertama, yang memungkinkan pengguna untuk mencari subtitle untuk film atau acara TV dengan menggunakan aplikasi khusus.

Ada perubahan nyata dalam file “Resources.bat” yang biasa digunakan oleh para pelaku ancaman selama kampanye ini. Segera setelah file ini dialihkan, malware dipasang di registri, dan kegigihan dibuat dengan menambahkan kunci registri ke file registri.

Ransomware Enigma telah terlihat digunakan sebagai file HTML menggunakan beberapa varian Chromeloader terbaru. Strain ransomware Enigma adalah yang lama yang menggunakan proses instalasi JavaScript untuk menyebar.

Chromeloader awalnya dikembangkan sebagai adware. Ini adalah contoh sempurna dari pelaku ancaman yang menemukan alternatif yang lebih menguntungkan untuk penipuan iklan dengan bereksperimen dengan muatan yang lebih kuat.

Unduh SWG Gratis – Penyaringan Web Aman – buku elektronik

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.