Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS

OS

Pembaruan Android Juni 2022 membawa perbaikan untuk kerentanan RCE yang kritis

by

Google telah merilis pembaruan keamanan Juni 2022 untuk perangkat Android yang menjalankan OS versi 10, 11, dan 12, memperbaiki 41 kerentanan, lima dinilai kritis.

Pembaruan keamanan dipisahkan menjadi dua tingkat, dirilis pada 1 Juni dan 5 Juni. Yang pertama berisi tambalan untuk sistem Android dan komponen kerangka kerja dan yang kedua mencakup pembaruan untuk kernel dan komponen sumber tertutup vendor pihak ketiga.

Dari lima kerentanan kritis yang ditangani bulan ini, salah satu yang menonjol adalah CVE-2022-20210, kelemahan eksekusi kode jarak jauh yang dapat dimanfaatkan oleh pelaku ancaman tanpa prasyarat yang sangat menuntut.

Cacat eksekusi kode jarak jauh sangat parah karena dapat menyebabkan pengungkapan informasi, kompromi sistem tingkat tinggi, dan pengambilalihan perangkat secara menyeluruh.

Dua perbaikan penting lainnya yang mendarat dengan tingkat tambalan pertama menyangkut CVE-2022-20140 dan CVE-2022-20145, keduanya eskalasi tingkat keparahan kritis dari kelemahan hak istimewa.

Jenis kerentanan ini biasanya dimanfaatkan oleh malware yang telah menyelinap ke perangkat melalui jalur dengan hak istimewa rendah seperti menginstal aplikasi yang tampaknya tidak berbahaya untuk meningkatkan eksekusi atau otorisasi akses seperti yang diperlukan untuk maksud jahat.

Cacat kritis keempat yang diatasi melalui level patch “1 Juni 2022” adalah CVE-2022-20130, yang terletak pada komponen Media Codec.

Perbaikan cacat kritis kelima hanya menyangkut chip Unisoc, jadi itu hanya tersedia melalui level patch “5 Juni 2022”.

Dilacak sebagai CVE-2022-20210, kerentanan ini diungkapkan awal bulan ini oleh para peneliti di Check Point, yang menemukan bahwa mungkin untuk menetralkan komunikasi radio perangkat dengan menggunakan paket yang cacat.

Unisoc menyumbang sekitar 11% dari pasar Android, sebagian besar ditemukan di perangkat yang terjangkau atau kasar yang digunakan di militer, dll.

Menerapkan pembaruan yang tersedia segera setelah tersedia untuk perangkat Anda sangat penting, meskipun tidak ada kerentanan di atas yang saat ini ditandai sebagai dieksploitasi secara aktif.

Perlu dicatat bahwa bulan ini, Samsung mengalahkan Google satu hari, meluncurkan patch Juni yang berisi semua perbaikan yang disebutkan di atas sejak kemarin.

Jika perangkat Anda tidak lagi didukung oleh vendor dan telah berhenti menerima pembaruan keamanan, sebaiknya gunakan distribusi Android pihak ketiga yang menyertakan patch terbaru dan fitur keamanan untuk model lama.

Sumber: Bleeping Computer

Windows Zero-day Dieksploitasi Dalam Serangan Phishing Yang Menargetkan Pemerintah Lokal AS & Eropa

by

Pemerintah Eropa dan pemerintah lokal AS menjadi target kampanye phishing menggunakan dokumen Rich Text Format (RTF) berbahaya yang dirancang untuk mengeksploitasi kerentanan kritis Windows zero-day yang dikenal sebagai Follina.

BleepingComputer mengetahui pemerintah lokal di setidaknya dua negara bagian AS yang menjadi sasaran kampanye phishing ini.

Penyerang menggunakan janji kenaikan gaji untuk memancing karyawan membuka dokumen berbahaya, yang akan menjalankan skrip Powershell sebagai muatan terakhir.

Seperti yang ditemukan BleepingComputer saat memeriksa muatan PowerShell terakhir dari serangan ini, pelaku ancaman mengumpulkan sejumlah besar info yang mengungkapkan sifat dari serangan pengintaian karena data yang dikumpulkan dapat digunakan untuk akses awal:

  • Kata sandi browser: Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Yandex, Vivaldi, CentBrowser, Comodo, CheDot, Orbitum, Chromium, Slimjet, Xvast, Kinza, Iridium, CocCoc, dan AVAST Browser.
  • Data dari aplikasi lain: Mozilla Thunderbird, file session Netsarang, kontak Windows Live Mail, kata sandi Filezilla, file konfigurasi ToDesk, WeChat, Oray SunLogin RemoteClient, MailMaster, ServU, Putty, FTP123, WinSCP, RAdmin, Microsoft Office, Navicat
  • Informasi Windows: Informasi komputer, daftar nama pengguna, informasi domain Windows

CVE-2022-30190 masih belum ditambal dan memengaruhi semua versi Windows yang masih menerima pembaruan keamanan (mis., Windows 7+ dan Server 2008+).

Hingga Microsoft merilis pembaruan keamanan resmi, Anda dapat menambal sistem Anda terhadap serangan yang sedang berlangsung ini menggunakan tambalan tidak resmi yang dirilis oleh layanan micropatch 0patch.

Selengkapnya: Bleeping Computer

Malware SMSFactory Android secara diam-diam berlangganan layanan premium

by

Peneliti keamanan memperingatkan malware Android bernama SMSFactory yang menambahkan biaya yang tidak diinginkan ke tagihan telepon dengan membuat korban berlangganan layanan premium.

SMSFactory memiliki beberapa saluran distribusi yang mencakup malvertising, pemberitahuan push, pop-up promosi di situs, video yang menjanjikan peretasan game, atau akses konten dewasa.

Menurut Avast, SMSFactory menargetkan lebih dari 165.000 pelanggan Android antara Mei 2021 hingga Mei 2022, sebagian besar berlokasi di Rusia, Brasil, Argentina, Turki, dan Ukraina.

Sementara tujuan utama SMSFactory adalah mengirim teks premium dan melakukan panggilan ke nomor telepon premium, peneliti Avast melihat varian malware yang juga dapat mencuri daftar kontak pada perangkat yang disusupi, kemungkinan akan digunakan sebagai metode distribusi lain untuk ancaman tersebut.

Jakub Vávra dari Avast mencatat bahwa SMSFactory di-host di toko aplikasi tidak resmi. Peneliti ESET menemukan paket APK berbahaya di APKMods dan PaidAPKFree, dua repositori aplikasi Android yang tidak memiliki pemeriksaan dan kebijakan keamanan yang tepat untuk produk yang terdaftar.

APK SMSFactory mungkin memiliki nama yang berbeda dan ketika mencoba menginstalnya di perangkat, sebuah peringatan muncul dari Play Protect – sistem keamanan bawaan Android, yang memperingatkan pengguna tentang potensi risiko keamanan dari file tersebut.

Peringatan Play Protect (Avast)

Izin yang diminta saat penginstalan termasuk mengakses data lokasi, SMS, kemampuan untuk melakukan panggilan telepon dan mengirim SMS, mengunci dan bergetar saat bangun, mengelola overlay, menggunakan seluruh layar, memantau notifikasi, dan memulai aktivitas dari latar belakang.

Ini semua adalah izin yang menunjukkan aktivitas jahat, tetapi pengguna ceroboh yang berharap dapat mengakses konten yang dijanjikan cenderung mengizinkannya tanpa meninjau.

Setelah diinstal, aplikasi menunjukkan kepada korban layar konten palsu ke layanan yang tidak berfungsi atau sebagian besar tidak tersedia.

Aplikasi itu sendiri tidak memiliki nama atau ikon yang ditetapkan dan dapat menghapus yang terakhir dari layar untuk mempersulit penghapusannya setelah keluar. Akibatnya, sebagian besar korban berasumsi bahwa ada yang salah dengan penginstalan dan tidak memberi tahu lagi tentang aplikasi tersebut.

SMSFactory tidak menggunakan ikon atau nama (Avast)

Namun, SMSFactory terus beroperasi di latar belakang, membuat koneksi ke server perintah dan kontrol (C2) dan mengirim profil ID perangkat yang terinfeksi.

Jika operator kampanye menganggap perangkat dapat digunakan, mereka mengirim kembali instruksi dan berlangganan korban ke layanan premium.

Salah satu varian terbaru dari malware SMSFactory juga dapat menambahkan akun admin di perangkat, kemungkinan diperlukan untuk distribusi SMS menggunakan daftar kontak.

Untuk menghindari tagihan yang lebih besar, pengguna disarankan untuk mengunduh aplikasi hanya dari sumber tepercaya, seperti Google Play. Mereka harus menjaga minimal jumlah aplikasi yang mereka gunakan dan membaca ulasan dari pengguna lain sebelum menginstal apa pun.

Selain itu, perbarui sistem operasi Anda ke versi terbaru yang tersedia untuk perangkat Anda dan jalankan pemindaian rutin melalui Play Protect.

Sumber: Bleeping Computer

10 aplikasi target trojan perbankan Android teratas dengan 1 miliar unduhan

by

Sepuluh trojan mobile banking Android paling produktif menargetkan 639 aplikasi keuangan yang secara kolektif memiliki lebih dari satu miliar unduhan di Google Play Store.

Trojan mobile banking bersembunyi di balik aplikasi yang tampaknya tidak berbahaya seperti alat produktivitas dan game dan biasanya menyelinap ke Google Play Store, toko aplikasi resmi Android.

Setelah menginfeksi perangkat, mereka melapisi halaman login di atas aplikasi perbankan dan keuangan yang sah untuk mencuri kredensial akun, memantau pemberitahuan untuk mengambil OTP, dan bahkan melakukan penipuan keuangan di perangkat dengan menyalahgunakan layanan Aksesibilitas untuk melakukan tindakan sebagai pengguna.

Menurut sebuah laporan oleh Zimperium yang memberikan gambaran umum tentang ekosistem Android pada kuartal pertama tahun 2021, masing-masing trojan ini telah mengambil tempat unik di pasar dengan berapa banyak organisasi yang mereka targetkan serta fungsionalitas yang membedakan mereka dari yang lain.

Temuan ini sangat mengkhawatirkan, karena menurut survei tahun 2021, tiga dari empat responden di AS menggunakan aplikasi perbankan untuk melakukan aktivitas perbankan harian mereka, memberikan kumpulan besar target untuk trojan ini.

Amerika Serikat menduduki puncak daftar negara yang paling ditargetkan memiliki 121 aplikasi yang ditargetkan. Inggris mengikuti dengan 55 aplikasi, Italia dengan 43, Turki dengan 34, Australia dengan 33, dan Prancis memiliki 31.

Trojan yang menargetkan sebagian besar aplikasi adalah Teabot, mencakup 410 dari 639 aplikasi yang dilacak, sementara Exobot juga menargetkan kumpulan 324 aplikasi yang cukup besar.

Aplikasi yang ditargetkan dengan unduhan terbanyak adalah PhonePe yang sangat populer di India, memiliki 100 juta unduhan dari Play Store.

Binance, aplikasi pertukaran cryptocurrency populer, menghitung 50 juta unduhan. Cash App, layanan pembayaran seluler yang mencakup AS dan Inggris, juga memiliki 50 juta pemasangan melalui Play Store. Keduanya juga menjadi sasaran beberapa trojan perbankan, bahkan jika mereka tidak menawarkan layanan perbankan konvensional.

Aplikasi yang paling banyak diincar adalah BBVA, portal perbankan online global dengan puluhan juta unduhan. Aplikasi ini ditargetkan oleh tujuh dari sepuluh trojan perbankan paling aktif.

Trojan perbankan paling produktif pada kuartal pertama tahun ini, menurut Zimperium, adalah sebagai berikut.

BianLian – Menargetkan Binance, BBVA, dan berbagai aplikasi Turki. Versi baru dari trojan yang ditemukan pada April 2022 menampilkan bypassing photoTAN, yang dianggap sebagai metode autentikasi yang kuat dalam perbankan online.
Cabassous – Menargetkan Barclays, CommBank, Halifax, Lloys, dan Santander . Menggunakan algoritma pembuatan domain (DGA) untuk menghindari deteksi dan penghapusan.
Coper – Menargetkan BBVA, Caixa Bank, CommBank, dan Santander. Ini secara aktif memantau “daftar yang diizinkan” pengoptimalan baterai perangkat dan memodifikasinya untuk membebaskan diri dari pembatasan.
EventBot – Menargetkan Barclays, Intensa, BancoPosta, dan berbagai aplikasi Italia lainnya. Itu bersembunyi sebagai Microsoft Word atau Adobe Flash, dan dapat mengunduh modul malware baru dari sumber jarak jauh.
Exobot – Menargetkan PayPal, Binance, Aplikasi Tunai, Barclays, BBVA, dan CaixaBank. Ini sangat kecil dan ringan karena menggunakan pustaka sistem bersama dan mengambil overlay dari C2 hanya jika diperlukan.
FluBot – BBVA, Caixa, Santander, dan berbagai aplikasi Spanyol lainnya yang ditargetkan. Trojan botnet terkenal karena distribusinya yang cepat menggunakan SMS dan daftar kontak perangkat yang disusupi.
Medusa – Menargetkan BBVA, CaixaBank, Ziraat, dan berbagai aplikasi bank Turki. Itu dapat melakukan penipuan pada perangkat dengan menyalahgunakan layanan aksesibilitas untuk bertindak sebagai pengguna biasa atas nama korban.
Sharkbot – Menargetkan Binance, BBVA, dan Coinbase. Ini menampilkan serangkaian kemampuan penghindaran deteksi dan anti-penghapusan yang kaya, serta enkripsi komunikasi C2 yang kuat.
Teabot – Menargetkan PhonePe, Binance, Barclays, Crypto.com, Postepay, Bank of America, Capital One, Citi Mobile, dan Coinbase. Ini fitur keylogger khusus untuk setiap aplikasi, dan memuatnya ketika pengguna meluncurkannya.
Xenomorph – Menargetkan BBVA dan berbagai aplikasi bank berbasis UE. Itu juga dapat berfungsi sebagai penetes untuk mengambil malware tambahan pada perangkat yang disusupi.
Seperti menjadi jelas dari atas, masing-masing dari sepuluh trojan perbankan paling produktif mempertahankan cakupan penargetan yang relatif sempit, sehingga ekosistem seimbang dan operator dapat memilih alat yang cocok dengan audiens target mereka.

Untuk melindungi dari semua ancaman ini, perbarui perangkat Anda, hanya instal aplikasi dari Google Play Store, periksa ulasan pengguna, kunjungi situs pengembang, dan pertahankan jumlah aplikasi yang diinstal di perangkat Anda seminimal mungkin.

Sumber: Bleeping Computer

Operasi malware FluBot Android dimatikan oleh penegak hukum

by

Europol telah mengumumkan penghapusan operasi FluBot, salah satu operasi malware Android terbesar dan dengan pertumbuhan tercepat yang pernah ada.

Penghapusan operasi malware dihasilkan dari operasi penegakan hukum yang melibatkan sebelas negara setelah penyelidikan teknis yang kompleks untuk menentukan infrastruktur paling kritis FluBot.

Peserta operasi tersebut adalah Australia, Belgia, Finlandia, Hungaria, Irlandia, Spanyol, Swedia, Swiss, Belanda, dan Amerika Serikat.

Seperti yang diumumkan Polisi Belanda hari ini, mereka telah memutuskan sepuluh ribu korban dari jaringan FluBot dan mencegah lebih dari 6,5 juta SMS spam menjangkau calon korban.

Pada Maret 2021, polisi di Spanyol menangkap empat tersangka yang kemudian dianggap sebagai anggota kunci dari operasi FluBot, karena malware tersebut terutama menginfeksi pengguna di wilayah tersebut.

Namun, jeda dalam distribusinya hanya sesaat, karena malware pulih ke tingkat yang belum pernah terjadi sebelumnya yang menargetkan beberapa negara lain di luar Spanyol.

Namun kali ini, Europol menggarisbawahi bahwa infrastruktur FluBot berada di bawah kendali penegak hukum, sehingga tidak dapat dinyalakan kembali.

FluBot adalah malware Android yang mencuri kredensial akun perbankan dan cryptocurrency dengan melapisi halaman phishing di atas antarmuka aplikasi yang sah ketika korban membukanya.

Selain itu, ia dapat mengakses konten SMS dan memantau notifikasi, sehingga otentikasi dua faktor dan kode OTP dapat diambil dengan cepat.

Proliferasinya yang cepat adalah berkat penyalahgunaan daftar kontak perangkat yang terinfeksi untuk mengirim SMS ke semua kontak melalui orang yang mereka percayai.

Orang yang perangkatnya disalahgunakan untuk spamming tidak akan melihat sesuatu yang aneh karena semuanya terjadi di latar belakang.

Dengan cara ini, dengan hanya mencapai beberapa infeksi, FluBot dengan cepat meningkatkan jumlah korban di tempat-tempat tertentu di seluruh dunia dan menyebar seperti api di sana.

Skema operasi utama FluBot (Europol)

Adapun metode distribusi untuk “patient-zero”, ini termasuk aplikasi yang dicampur di Google Play Store, pesan pengiriman paket palsu, pembaruan aplikasi Flash Player, dan banyak lagi.

Jika menurut Anda FluBot mungkin telah menginfeksi perangkat Anda, Europol menyarankan Anda melakukan reset pabrik yang menghapus semua data di partisi yang dapat menampung malware.

Sumber: Bleeping Computer

Microsoft menemukan bug parah di aplikasi Android dari penyedia seluler besar

by

Peneliti keamanan Microsoft telah menemukan kerentanan tingkat keparahan yang tinggi dalam kerangka kerja yang digunakan oleh aplikasi Android dari beberapa penyedia layanan seluler internasional yang besar.

Para peneliti menemukan kerentanan ini (dilacak sebagai CVE-2021-42598, CVE-2021-42599, CVE-2021-42600, dan CVE-2021-42601) dalam kerangka kerja seluler yang dimiliki oleh Sistem mce yang memaparkan pengguna pada serangan injeksi perintah dan eskalasi hak istimewa .

Aplikasi rentan memiliki jutaan unduhan di Google Play Store dan sudah diinstal sebelumnya sebagai aplikasi sistem pada perangkat yang dibeli dari operator telekomunikasi yang terpengaruh, termasuk AT&T, TELUS, Rogers Communications, Bell Canada, dan Freedom Mobile.

“Semua aplikasi tersedia di Google Play Store yang melalui pemeriksaan keamanan otomatis Google Play Protect, tetapi pemeriksaan ini sebelumnya tidak memindai jenis masalah ini.

“Seperti halnya dengan banyak aplikasi pra-instal atau default yang dimiliki sebagian besar perangkat Android akhir-akhir ini, beberapa aplikasi yang terpengaruh tidak dapat sepenuhnya dihapus atau dinonaktifkan tanpa mendapatkan akses root ke perangkat.”

Sementara vendor yang dihubungi Microsoft telah memperbarui aplikasi mereka untuk mengatasi bug sebelum kelemahan keamanan diungkapkan hari ini untuk melindungi pelanggan mereka dari serangan, aplikasi dari perusahaan telekomunikasi lain juga menggunakan kerangka kerja kereta yang sama.

“Beberapa penyedia layanan seluler lainnya ditemukan menggunakan kerangka kerja rentan dengan aplikasi masing-masing, menunjukkan bahwa mungkin ada penyedia tambahan yang masih belum ditemukan yang mungkin terpengaruh,” tambah para peneliti.

Microsoft menambahkan bahwa beberapa perangkat Android mungkin juga terkena serangan yang mencoba menyalahgunakan kelemahan ini jika aplikasi Android (dengan nama paket com.mce.mceiotraceagent) diinstal “oleh beberapa bengkel ponsel.”

Mereka yang menemukan aplikasi ini terinstal di perangkat mereka disarankan untuk segera menghapusnya dari ponsel mereka untuk menghapus vektor serangan.

“Kerentanan, yang memengaruhi aplikasi dengan jutaan unduhan, telah diperbaiki oleh semua pihak yang terlibat,” kata para peneliti.

“Ditambah dengan hak istimewa sistem ekstensif yang dimiliki aplikasi pra-instal, kerentanan ini bisa menjadi vektor serangan bagi penyerang untuk mengakses konfigurasi sistem dan informasi sensitif.”

Sumber: Bleeping Computer

Tagged With:

Ransomware Linux ‘Cheers’ baru menargetkan server VMware ESXi

by

Ransomware baru bernama ‘Cheers’ telah muncul di ruang kejahatan dunia maya dan telah memulai operasinya dengan menargetkan server VMware ESXi yang rentan.

VMware ESXi adalah platform virtualisasi yang biasa digunakan oleh organisasi besar di seluruh dunia, jadi mengenkripsi mereka biasanya menyebabkan gangguan parah pada operasi bisnis.

Kami telah melihat banyak grup ransomware yang menargetkan platform VMware ESXi di masa lalu, dengan tambahan terbaru adalah LockBit dan Hive.

Penambahan ransomware Cheers ke klub ditemukan oleh analis di Trend Micro, yang menyebut varian baru ‘Cheerscrypt’.

Setelah server VMware ESXi disusupi, pelaku ancaman meluncurkan encryptor, yang secara otomatis akan menghitung mesin virtual yang sedang berjalan dan mematikannya menggunakan perintah esxcli berikut.

esxcli vm process kill –type=force –world-id=$(esxcli vm process list|grep ‘World ID’|awk ‘{print $3}’)

Saat mengenkripsi file, ia secara khusus mencari file dengan ekstensi .log, .vmdk, .vmem, .vswp, dan .vmsn berikut. Ekstensi file ini terkait dengan snapshot ESXi, file log, file swap, file paging, dan disk virtual.

Setiap file terenkripsi akan memiliki ekstensi “.Cheers” yang ditambahkan ke nama filenya. Anehnya, penggantian nama file terjadi sebelum enkripsi, jadi jika izin akses untuk mengubah nama file ditolak, enkripsi akan gagal, tetapi file akan tetap diganti namanya.

Skema enkripsi menggunakan sepasang kunci publik dan pribadi untuk mendapatkan kunci rahasia (SOSEMANUK stream cipher) dan menyematkannya di setiap file terenkripsi. Kunci pribadi yang digunakan untuk membuat kunci rahasia dihapus untuk mencegah pemulihan.​

Rutinitas enkripsi Cheers (Trend Micro)

Saat memindai folder untuk file yang akan dienkripsi, ransomware akan membuat catatan tebusan bernama ‘Cara Mengembalikan File Anda.txt’ di setiap folder.

Catatan tebusan ini mencakup informasi tentang apa yang terjadi pada file korban dan tautan ke situs kebocoran data Tor operasi ransomware dan situs negosiasi tebusan.

Setiap korban memiliki situs Tor unik untuk negosiasi mereka, tetapi URL situs kebocoran data Onion bersifat statis.

Cheers uang tebusan untuk para korban
Sumber: BleepingComputer

Berdasarkan penelitian BleepingComputer ke dalam operasi baru, tampaknya telah diluncurkan pada Maret 2022.

BleepingComputer menemukan kebocoran data dan pemerasan korban situs Onion untuk operasi ransomware Cheers, yang saat ini hanya mencantumkan empat korban.

Namun, keberadaan portal ini menunjukkan bahwa Cheers melakukan eksfiltrasi data selama serangan dan menggunakan data yang dicuri dalam serangan pemerasan ganda.

Kebocoran data Cheer situs Bawang
Sumber: BleepingComputer

Berdasarkan catatan tebusan yang kami periksa, pelaku ancaman memberi korbannya tiga hari untuk mengakses situs Tor yang disediakan untuk menegosiasikan pembayaran tebusan sebagai ganti kunci dekripsi yang berfungsi.

Jika korban tidak membayar uang tebusan, pelaku ancaman mengatakan mereka akan menjual data yang dicuri ke penjahat lain.

Jika tidak ada yang tertarik untuk membeli data, data tersebut akan dipublikasikan di portal kebocoran dan diekspos ke klien, kontraktor, otoritas perlindungan data, pesaing, dan pelaku ancaman lainnya.

Sumber: Bleeping Computer

Lonjakan malware ChromeLoader baru mengancam browser di seluruh dunia

by

Malware ChromeLoader mengalami peningkatan deteksi bulan ini, mengikuti volume yang relatif stabil sejak awal tahun, menyebabkan pembajakan browser menjadi ancaman yang meluas.

ChromeLoader adalah pembajak peramban yang dapat mengubah setelan peramban web korban untuk menampilkan hasil penelusuran yang mempromosikan perangkat lunak yang tidak diinginkan, hadiah dan survei palsu, serta permainan dewasa dan situs kencan.

Ada banyak pembajak semacam ini, tetapi ChromeLoader menonjol karena kegigihan, volume, dan rute infeksinya, yang melibatkan penggunaan PowerShell secara agresif.

Menurut peneliti Red Canary, yang telah mengikuti aktivitas ChromeLoader sejak Februari tahun ini, operator pembajak menggunakan file arsip ISO berbahaya untuk menginfeksi korbannya.

ISO menyamar sebagai executable crack untuk game atau perangkat lunak komersial, sehingga korban kemungkinan mengunduhnya sendiri dari torrent atau situs berbahaya.

Para peneliti juga memperhatikan posting Twitter yang mempromosikan game Android yang retak dan menawarkan kode QR yang mengarah ke situs hosting malware.

Ketika seseorang mengklik dua kali pada file ISO di Windows 10 atau lebih baru, file ISO akan dipasang sebagai drive CD-ROM virtual. File ISO ini berisi executable yang berpura-pura menjadi game crack atau keygen, menggunakan nama seperti “CS_Installer.exe.”

Isi file ISO (Red Canary)

Terakhir, ChromeLoader mengeksekusi dan mendekode perintah PowerShell yang mengambil arsip dari sumber daya jarak jauh dan memuatnya sebagai ekstensi Google Chrome.

Setelah ini selesai, PowerShell akan menghapus tugas terjadwal yang membuat Chrome terinfeksi dengan ekstensi yang disuntikkan secara diam-diam yang membajak browser dan memanipulasi hasil mesin telusur.

PowerShell yang digunakan untuk melawan Chrome di Windows
(Kenari Merah)

Operator ChromeLoader juga menargetkan sistem macOS, yang ingin memanipulasi browser web Chrome dan Safari Apple.

Rantai infeksi pada macOS serupa, tetapi alih-alih ISO, pelaku ancaman menggunakan file DMG (Apple Disk Image), format yang lebih umum pada OS tersebut.

Selain itu, alih-alih penginstal yang dapat dieksekusi, varian macOS menggunakan skrip bash penginstal yang mengunduh dan mendekompresi ekstensi ChromeLoader ke direktori “private/var/tmp”.

Skrip bash digunakan di macOS (Red Canary)

“Untuk mempertahankan kegigihan, variasi macOS ChromeLoader akan menambahkan file preferensi (`plist`) ke direktori `/Library/LaunchAgents`,” jelas laporan Red Canary.

“Ini memastikan bahwa setiap kali pengguna masuk ke sesi grafis, skrip Bash ChromeLoader dapat terus berjalan.”

Untuk petunjuk tentang memeriksa ekstensi apa yang berjalan di browser web Anda dan cara mengelola, membatasi, atau menghapusnya, lihat panduan ini untuk Chrome atau yang ini untuk Safari.

Sumber: Bleeping Computer