• Skip to main content

Naga Cyber Defense

Trusted Security for all of Indonesia

  • Home
  • About
  • Programs
  • Contact
  • Blog
You are here: Home / Archives for malware ChromeLoader

malware ChromeLoader

VMware, Microsoft memperingatkan serangan malware Chromeloader yang meluas

September 21, 2022 by Eevee

VMware dan Microsoft memperingatkan kampanye malware Chromeloader yang sedang berlangsung dan meluas yang telah berkembang menjadi ancaman yang lebih berbahaya, terlihat menjatuhkan ekstensi browser berbahaya, malware node-WebKit, dan bahkan ransomware dalam beberapa kasus.

Infeksi Chromeloader melonjak pada Q1 2022, dengan para peneliti di Red Canary memperingatkan tentang bahaya pembajak peramban yang digunakan untuk afiliasi pemasaran dan penipuan iklan.

Saat itu, malware menginfeksi Chrome dengan ekstensi berbahaya yang mengarahkan lalu lintas pengguna ke situs iklan untuk melakukan penipuan klik dan menghasilkan pendapatan bagi pelaku ancaman.

Beberapa bulan kemudian, Unit 42 Jaringan Palo Alto memperhatikan bahwa Chromeloader berkembang menjadi pencuri info, mencoba mengambil data yang disimpan di browser sambil mempertahankan fungsi adwarenya.

Pada Jumat malam, Microsoft memperingatkan tentang “kampanye penipuan klik luas yang sedang berlangsung” yang dikaitkan dengan aktor ancaman yang dilacak sebagai DEV-0796 menggunakan Chromeloader untuk menginfeksi korban dengan berbagai malware.

Alur serangan Chromeloader
Sumber: Microsoft

Hari ini, analis di VMware menerbitkan laporan teknis yang menjelaskan berbagai varian Chromeloader yang digunakan pada bulan Agustus dan bulan ini, beberapa di antaranya menurunkan muatan yang jauh lebih kuat.

Malware ChromeLoader dikirimkan dalam file ISO yang didistribusikan melalui iklan berbahaya, pengalihan browser, dan komentar video YouTube.

File ISO telah menjadi metode populer untuk mendistribusikan malware sejak Microsoft mulai memblokir makro Office secara default. Selanjutnya, ketika mengklik dua kali pada ISO di Windows 10 dan yang lebih baru, mereka secara otomatis dipasang sebagai CDROM di bawah huruf drive baru, menjadikannya cara yang efisien untuk mendistribusikan beberapa file malware sekaligus.

File yang terdapat dalam arsip ISO ChromeLoader

ISO ChromeLoader biasanya berisi empat file, arsip ZIP yang berisi malware, file ICON, file batch (biasanya bernama Resources.bat) yang menginstal malware, dan pintasan Windows yang meluncurkan file batch.

Sebagai bagian dari penelitian mereka, VMware mengambil sampel setidaknya sepuluh varian Chromeloader sejak awal tahun, dengan yang paling menarik muncul setelah Agustus.

Contoh pertama adalah program yang meniru OpenSubtitles, sebuah utilitas yang membantu pengguna menemukan subtitle untuk film dan acara TV. Dalam kampanye ini, pelaku ancaman pindah dari file “Resources.bat” mereka yang biasa dan beralih ke file bernama “properties.bat,” yang digunakan untuk menginstal malware dan membangun kegigihan dengan menambahkan kunci Registry.

Kasus penting lainnya adalah “Flbmusic.exe,” meniru pemutar Musik FLB, menampilkan runtime Electron dan memungkinkan malware memuat modul tambahan untuk komunikasi jaringan dan pengintaian port.

Untuk beberapa varian, serangan berubah menjadi sedikit destruktif, mengekstraksi ZipBombs yang membebani sistem dengan operasi pembongkaran besar-besaran.

Yang lebih memprihatinkan, varian Chromeloader terbaru terlihat menyebarkan ransomware Enigma dalam file HTML.

Enigma adalah jenis ransomware lama yang menggunakan penginstal berbasis JavaScript dan executable tertanam sehingga dapat diluncurkan langsung dari browser default.

Setelah enkripsi selesai, ekstensi nama file “.enigma” ditambahkan ke file, sementara ransomware menjatuhkan file “readme.txt” yang berisi instruksi untuk korban.

Karena adware tidak menyebabkan kerusakan signifikan pada sistem korban, selain memakan bandwidth, biasanya adware merupakan ancaman yang diabaikan atau diremehkan oleh analis.

Namun, setiap perangkat lunak yang bersarang ke dalam sistem tanpa terdeteksi adalah kandidat untuk masalah yang lebih signifikan, karena pembuatnya mungkin menerapkan modifikasi yang memfasilitasi opsi monetisasi yang lebih agresif.

Sumber: Bleeping Computer

Tagged With: malware ChromeLoader, Microsoft, VMWare

Lonjakan malware ChromeLoader baru mengancam browser di seluruh dunia

May 26, 2022 by Eevee

Malware ChromeLoader mengalami peningkatan deteksi bulan ini, mengikuti volume yang relatif stabil sejak awal tahun, menyebabkan pembajakan browser menjadi ancaman yang meluas.

ChromeLoader adalah pembajak peramban yang dapat mengubah setelan peramban web korban untuk menampilkan hasil penelusuran yang mempromosikan perangkat lunak yang tidak diinginkan, hadiah dan survei palsu, serta permainan dewasa dan situs kencan.

Ada banyak pembajak semacam ini, tetapi ChromeLoader menonjol karena kegigihan, volume, dan rute infeksinya, yang melibatkan penggunaan PowerShell secara agresif.

Menurut peneliti Red Canary, yang telah mengikuti aktivitas ChromeLoader sejak Februari tahun ini, operator pembajak menggunakan file arsip ISO berbahaya untuk menginfeksi korbannya.

ISO menyamar sebagai executable crack untuk game atau perangkat lunak komersial, sehingga korban kemungkinan mengunduhnya sendiri dari torrent atau situs berbahaya.

Para peneliti juga memperhatikan posting Twitter yang mempromosikan game Android yang retak dan menawarkan kode QR yang mengarah ke situs hosting malware.

Ketika seseorang mengklik dua kali pada file ISO di Windows 10 atau lebih baru, file ISO akan dipasang sebagai drive CD-ROM virtual. File ISO ini berisi executable yang berpura-pura menjadi game crack atau keygen, menggunakan nama seperti “CS_Installer.exe.”

Isi file ISO (Red Canary)

Terakhir, ChromeLoader mengeksekusi dan mendekode perintah PowerShell yang mengambil arsip dari sumber daya jarak jauh dan memuatnya sebagai ekstensi Google Chrome.

Setelah ini selesai, PowerShell akan menghapus tugas terjadwal yang membuat Chrome terinfeksi dengan ekstensi yang disuntikkan secara diam-diam yang membajak browser dan memanipulasi hasil mesin telusur.

PowerShell yang digunakan untuk melawan Chrome di Windows
(Kenari Merah)

Operator ChromeLoader juga menargetkan sistem macOS, yang ingin memanipulasi browser web Chrome dan Safari Apple.

Rantai infeksi pada macOS serupa, tetapi alih-alih ISO, pelaku ancaman menggunakan file DMG (Apple Disk Image), format yang lebih umum pada OS tersebut.

Selain itu, alih-alih penginstal yang dapat dieksekusi, varian macOS menggunakan skrip bash penginstal yang mengunduh dan mendekompresi ekstensi ChromeLoader ke direktori “private/var/tmp”.

Skrip bash digunakan di macOS (Red Canary)

“Untuk mempertahankan kegigihan, variasi macOS ChromeLoader akan menambahkan file preferensi (`plist`) ke direktori `/Library/LaunchAgents`,” jelas laporan Red Canary.

“Ini memastikan bahwa setiap kali pengguna masuk ke sesi grafis, skrip Bash ChromeLoader dapat terus berjalan.”

Untuk petunjuk tentang memeriksa ekstensi apa yang berjalan di browser web Anda dan cara mengelola, membatasi, atau menghapusnya, lihat panduan ini untuk Chrome atau yang ini untuk Safari.

Sumber: Bleeping Computer

Tagged With: ISO, malware ChromeLoader, Red Canary

Copyright © 2025 · Naga Cyber Defense · Sitemap

Cookies Settings
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
Do not sell my personal information.
AcceptReject AllCookie Settings
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Functional
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytics
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
CookieDurationDescription
_ga2 yearsThe _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_11 minuteSet by Google to distinguish users.
_gid1 dayInstalled by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
Advertisement
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Others
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
non-necessary
SAVE & ACCEPT
Powered by CookieYes Logo