ISO

Windows telah memperbaiki bug yang mencegah tanda Mark of the Web menyebar ke file dalam file ISO yang diunduh, memberikan pukulan besar bagi distributor dan pengembang malware.

untuk kalian yang kurang memahami Mark of the Web (MoTW), ini adalah fitur keamanan Windows yang menandai file yang berasal dari Internet sehingga ditandai sebagai “mencurigakan” oleh sistem operasi dan aplikasi yang diinstal.

bendera MoTW ditambahkan ke file sebagai aliran data alternatif yang disebut ‘Zone.Identifier,’ yang mencangkup zone keamnaan URL asal file, perunjuk, dan URL ke file

Alternate Data Streams adalah atribut file NTFS yang dapat dilihat menggunakan alat khusus atau perintah ‘dir /R’ di Command Prompt dan dibuka langsung di Notepad, seperti yang ditunjukkan di bawah ini.

Saat mencoba membuka file dengan tanda Mark of the Web, Windows akan menampilkan peringatan keamanan bahwa file harus diperlakukan dengan hati-hati.

Peringatan keamanan Windows saat membuka file dengan bendera MoTW

Microsoft memperbaiki Mark of the Web di ISO
Sebagai bagian dari pembaruan November Patch Tuesday, Microsoft memperbaiki banyak kerentanan yang memungkinkan pelaku ancaman membuat file yang dapat melewati fitur keamanan Mark of the Web.

Termasuk dalam pembaruan adalah perbaikan tak terduga untuk bug yang biasanya disalahgunakan oleh aktor ancaman dalam kampanye phishing

Untuk beberapa waktu, pelaku ancaman telah mendistribusikan gambar disk ISO sebagai lampiran dalam kampanye phishing untuk menginfeksi target dengan malware.

Meskipun file ISO yang diunduh atau dilampirkan akan berisi Tanda Web dan mengeluarkan peringatan saat dibuka, bug tersebut menyebabkan bendera MoTW tidak disebarkan ke jenis file non-Microsoft Office, seperti Pintasan Windows (file LNK).

Setelah menginstal pembaruan keamanan November Patch Tuesday untuk CVE-2022-41091, Windows sekarang akan menyebarkan Mark of the Web flag itu akan menampilkan peringatan keamanan saat meluncurkan file LNK.

Dua bug MoTW lainnya diperbaiki

Bug pertama menyebabkan Windows SmartScreen gagal pada Windows 11 22H2 dan melewati peringatan Mark of the Web saat membuka file langsung dari arsip ZIP.

Bug kedua, dijuluki ‘ZippyReads,’ dapat dieksploitasi hanya dengan membuat file ZIP yang berisi file read-only. Saat arsip ini dibuka di Windows Explorer, bendera MoTW tidak akan disebarkan ke file hanya-baca dan mengabaikan peringatan keamanan.

sumber : bleeping computer

Malware ChromeLoader mengalami peningkatan deteksi bulan ini, mengikuti volume yang relatif stabil sejak awal tahun, menyebabkan pembajakan browser menjadi ancaman yang meluas.

ChromeLoader adalah pembajak peramban yang dapat mengubah setelan peramban web korban untuk menampilkan hasil penelusuran yang mempromosikan perangkat lunak yang tidak diinginkan, hadiah dan survei palsu, serta permainan dewasa dan situs kencan.

Ada banyak pembajak semacam ini, tetapi ChromeLoader menonjol karena kegigihan, volume, dan rute infeksinya, yang melibatkan penggunaan PowerShell secara agresif.

Menurut peneliti Red Canary, yang telah mengikuti aktivitas ChromeLoader sejak Februari tahun ini, operator pembajak menggunakan file arsip ISO berbahaya untuk menginfeksi korbannya.

ISO menyamar sebagai executable crack untuk game atau perangkat lunak komersial, sehingga korban kemungkinan mengunduhnya sendiri dari torrent atau situs berbahaya.

Para peneliti juga memperhatikan posting Twitter yang mempromosikan game Android yang retak dan menawarkan kode QR yang mengarah ke situs hosting malware.

Ketika seseorang mengklik dua kali pada file ISO di Windows 10 atau lebih baru, file ISO akan dipasang sebagai drive CD-ROM virtual. File ISO ini berisi executable yang berpura-pura menjadi game crack atau keygen, menggunakan nama seperti “CS_Installer.exe.”

Terakhir, ChromeLoader mengeksekusi dan mendekode perintah PowerShell yang mengambil arsip dari sumber daya jarak jauh dan memuatnya sebagai ekstensi Google Chrome.

Setelah ini selesai, PowerShell akan menghapus tugas terjadwal yang membuat Chrome terinfeksi dengan ekstensi yang disuntikkan secara diam-diam yang membajak browser dan memanipulasi hasil mesin telusur.

PowerShell yang digunakan untuk melawan Chrome di Windows
(Kenari Merah)

Operator ChromeLoader juga menargetkan sistem macOS, yang ingin memanipulasi browser web Chrome dan Safari Apple.

Rantai infeksi pada macOS serupa, tetapi alih-alih ISO, pelaku ancaman menggunakan file DMG (Apple Disk Image), format yang lebih umum pada OS tersebut.

Selain itu, alih-alih penginstal yang dapat dieksekusi, varian macOS menggunakan skrip bash penginstal yang mengunduh dan mendekompresi ekstensi ChromeLoader ke direktori “private/var/tmp”.

Skrip bash digunakan di macOS (Red Canary)

“Untuk mempertahankan kegigihan, variasi macOS ChromeLoader akan menambahkan file preferensi (`plist`) ke direktori `/Library/LaunchAgents`,” jelas laporan Red Canary.

“Ini memastikan bahwa setiap kali pengguna masuk ke sesi grafis, skrip Bash ChromeLoader dapat terus berjalan.”

Untuk petunjuk tentang memeriksa ekstensi apa yang berjalan di browser web Anda dan cara mengelola, membatasi, atau menghapusnya, lihat panduan ini untuk Chrome atau yang ini untuk Safari.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Microsoft Memperbaiki MoTW Zero-day Yang digunakan Untuk Menjatuhkan Malware Melalui File ISO

Lonjakan malware ChromeLoader baru mengancam browser di seluruh dunia

ISO

Cookies Settings