Scroll untuk baca artikel
Home Networking Malware memasang paksa ekstensi Chrome di 300.000 browser, menambal DLL
Networking

Malware memasang paksa ekstensi Chrome di 300.000 browser, menambal DLL

Bill Toulas5 min read
112
×

Malware memasang paksa ekstensi Chrome di 300.000 browser, menambal DLL

Share this article
malware-memasang-paksa-ekstensi-chrome-di-300.000-browser,-menambal-dll
Malware memasang paksa ekstensi Chrome di 300.000 browser, menambal DLL

krom

Kampanye malware yang sedang berlangsung dan meluas memasang paksa ekstensi browser Google Chrome dan Microsoft Edge yang berbahaya di lebih dari 300.000 browser, memodifikasi executable browser untuk membajak beranda dan mencuri riwayat penelusuran.

Example 300x600

Penginstal dan ekstensi, yang biasanya tidak terdeteksi oleh alat antivirus, dirancang untuk mencuri data dan menjalankan perintah pada perangkat yang terinfeksi.

Kampanye ini ditemukan oleh para peneliti di AlasanLabs yang memperingatkan bahwa aktor ancaman di baliknya menggunakan beragam tema malvertising untuk mencapai infeksi awal.

Menginfeksi peramban web Anda

ReasonLabs mengatakan infeksi dimulai dengan korban mengunduh penginstal perangkat lunak dari situs palsu yang dipromosikan melalui malvertising di hasil pencarian Google.

Kampanye malware ini menggunakan umpan seperti Roblox FPS Unlocker, TikTok Video Downloader, YouTube downloader, pemutar video VLC, Dolphin Emulator, dan pengelola kata sandi KeePass.

Penginstal yang diunduh ditandatangani secara digital oleh ‘Tommy Tech LTD’ dan berhasil menghindari deteksi oleh semua mesin AV di VirusTotal pada saat analisisnya oleh ReasonLabs.

Malware yang dipasang ditandatangani oleh Tommy Tech
Malware yang dipasang ditandatangani oleh Tommy Tech
Sumber: BleepingComputer

Namun, mereka tidak berisi apa pun yang menyerupai alat perangkat lunak yang dijanjikan dan malah menjalankan skrip PowerShell yang diunduh ke C:WindowsSystem32PrintWorkflowService.ps1 yang mengunduh muatan dari server jarak jauh dan mengeksekusinya di komputer korban.

Skrip yang sama juga memodifikasi registri Windows untuk memaksa pemasangan ekstensi dari Toko Web Chrome dan Add-on Microsoft Edge.

Tugas Terjadwal juga dibuat untuk memuat skrip PowerShell pada interval berbeda, yang memungkinkan pelaku ancaman untuk menyebarkan malware lebih lanjut atau memasang muatan lainnya.

Tugas terjadwal untuk meluncurkan skrip PowerShell
Tugas terjadwal untuk meluncurkan skrip PowerShell
Sumber: BleepingComputer

Malware tersebut terlihat memasang sejumlah besar ekstensi Google Chrome dan Microsoft Edge yang akan membajak permintaan pencarian Anda, mengubah beranda Anda, dan mengarahkan pencarian Anda melalui server pelaku ancaman sehingga mereka dapat mencuri riwayat penelusuran Anda.

ReasonLabs menemukan hal berikut Google Chrome ekstensi terkait dengan kampanye ini:

  • Bilah Pencarian Kustom – 40K+ pengguna
  • Pencarian yangl – 40K+ pengguna
  • Bilah pencarian Qcom – 40+ pengguna
  • Pencarian Kuartal – 6K+ pengguna
  • Ekstensi Chrome Pencarian Mikro – 180K+ pengguna (dihapus dari toko Chrome)
  • Bilah Pencarian Aktif – 20K+ pengguna (dihapus dari toko Chrome)
  • Bilah Pencarian Anda – 40K+ pengguna (dihapus dari toko Chrome)
  • Pencarian Aman Eng – 35K+ pengguna (dihapus dari toko Chrome)
  • Pencarian Lax – 600+ pengguna (dihapus dari toko Chrome)
Komentar pengguna di bawah ekstensi yglSearch
Komentar pengguna di bawah ekstensi yglSearch
Sumber: BleepingComputer

Berikut ini Tepi Microsoft ekstensi terkait dengan kampanye ini:

  • Tab Baru Sederhana – 100.000K+ pengguna (dihapus dari toko Edge)
  • Pembersih Tab Baru – 2K+ pengguna (dihapus dari toko Edge)
  • Keajaiban NewTab – 7K+ pengguna (dihapus dari toko Edge)
  • Pencarian Nuklir – 1.000+ pengguna (dihapus dari toko Edge)
  • Pencarian EXYZ – 1.000+ pengguna (dihapus dari toko Edge)
  • Tab Keajaiban – 6K+ pengguna (dihapus dari toko Edge)

Melalui ekstensi ini, pelaku jahat membajak permintaan pencarian pengguna dan malah mengarahkan mereka ke hasil jahat atau halaman iklan yang menghasilkan pendapatan bagi pelaku ancaman.

Selain itu, mereka dapat menangkap kredensial login, riwayat penelusuran, dan informasi sensitif lainnya, memantau aktivitas daring korban, dan menjalankan perintah yang diterima dari server perintah dan kontrol (C2).

Manipulasi URL untuk pembajakan pencarian
Manipulasi URL untuk pembajakan pencarian
Sumber: ReasonLabs

Ekstensi tetap tersembunyi dari halaman manajemen ekstensi browser, bahkan saat mode pengembang diaktifkan, sehingga penghapusannya rumit.

Malware tersebut menggunakan berbagai metode agar tetap ada di komputer, sehingga sangat sulit untuk dihapus. Kemungkinan besar, penghapusan harus dilakukan dengan mencopot pemasangan dan memasang ulang peramban untuk menyelesaikan penghapusan.

Muatan PowerShell akan mencari dan mengubah semua tautan pintasan peramban web untuk memaksa memuat ekstensi berbahaya dan menonaktifkan mekanisme pembaruan otomatis peramban saat peramban dimulai. Hal ini dilakukan untuk mencegah perlindungan bawaan Chrome diperbarui dan mendeteksi malware.

Namun, hal itu juga mencegah pemasangan pembaruan keamanan di masa mendatang, yang membuat Chrome dan Edge rentan terhadap kerentanan baru yang ditemukan.

Karena banyak orang mengandalkan proses pembaruan otomatis Chrome dan tidak pernah melakukannya secara manual, hal ini dapat tidak terdeteksi untuk waktu yang lama.

Yang lebih licik lagi, malware tersebut akan memodifikasi DLL yang digunakan oleh Google Chrome dan Microsoft Edge untuk membajak beranda browser menjadi beranda yang berada di bawah kendali pelaku ancaman, seperti https://microsearch[.]Saya/.

“Tujuan skrip ini adalah untuk menemukan DLL browser (msedge.dll jika Edge adalah yang default) dan mengubah byte tertentu di lokasi tertentu di dalamnya,” jelas ReasonLabs.

“Dengan melakukan hal itu, skrip dapat membajak pencarian default dari Bing atau Google ke portal pencarian milik penyerang. Skrip memeriksa versi browser mana yang terinstal dan mencari byte yang sesuai.”

Satu-satunya cara untuk menghapus modifikasi ini adalah dengan memutakhirkan ke versi baru browser atau menginstalnya kembali, yang seharusnya menggantikan file yang dimodifikasi.

BleepingComputer telah menghubungi Google untuk meminta klarifikasi tentang empat ekstensi Chrome yang masih tersedia di Web Store, dan kami sedang menunggu tanggapan mereka.

Diperlukan pembersihan manual

Untuk menghapus infeksi dari sistem mereka, korban harus melalui proses beberapa langkah untuk menghapus file berbahaya.

Pertama, hapus tugas terjadwal dari Penjadwal Tugas Windows, cari entri mencurigakan yang mengarah ke skrip seperti ‘NvWinSearchOptimizer.ps1,’ yang biasanya terletak di ‘C:Windowssystem32.’

Kedua, hapus entri registri berbahaya dengan membuka Editor Registri (‘Win+R’ > regedit) dan arahkan ke:

HKEY_LOCAL_MACHINEPERANGKAT LUNAKKebijakanGoogleChromeDaftar Paksa Pemasangan Ekstensi
HKEY_LOCAL_MACHINEPERANGKAT LUNAKKebijakanMicrosoftEdgeDaftar Paksa Pemasangan Ekstensi
HKEY_LOCAL_MACHINEPERANGKAT LUNAKNode WOW6432KebijakanGoogleChromeDaftar Paksa Pemasangan Ekstensi
HKEY_LOCAL_MACHINEPERANGKAT LUNAKNode WOW6432KebijakanMicrosoftEdgeDaftar Paksa Pemasangan Ekstensi

Klik kanan setiap kunci dengan nama ekstensi berbahaya dan pilih “Hapus” untuk menghapusnya.

Terakhir, gunakan alat AV untuk menghapus file malware dari sistem, atau navigasikan ke ‘C:WindowsSystem32’ dan hapus ‘NvWinSearchOptimizer.ps1’ (atau yang serupa).

Menginstal ulang browser setelah proses pembersihan mungkin tidak diperlukan, tetapi sangat disarankan karena modifikasi yang dilakukan oleh malware sangat invasif.

Post Views: 112

Read Also