Baru baru ini Microsoft mengeluarkan sebuah peringatan mengenai ‘Malware Campaign’ yang mulai menginfeksi browser terkemuka, seperti Google Chrome, Microsoft Edge Chromium dan Mozilla Firefox.
Dalam halaman pengumumannya, Microsoft menjelaskan mengenai hal ini secara mendetail, dimana masalah ini disebabkan oleh infeksi Adrozek Malware, dimana dengan itu hasil dari iklan di search engine result akan dialihkan ke website lain yang tidak sesuai dengan website resminya.
Microsoft juga mencatat setidaknya ada 159 domain unik yang masing masing menghosting rata rata 17.300 URL unik yang kemudian menghosting rata-rata lebih dari 15.300 sampel malware polimorfik unik. Dan secara total dari bulan Mei hingga September 2020, telah tercatat ratusan ribu Adrozek malware yang menghinfeksi dunia.
Meskipun jenis serangan seperti ini bukanlah sebuah hal baru, namun Microsoft mencatata bahwa Adrozek relatif lebih canggih karena tetap akan berada di perangkat dan dapat mencuri kredensial pengguna juga, sejauh ini berdasarkan gambar peta diatas, fokus malware ini sangat kuat di Eropa, Asia Selatan, Asia Tenggara.
Seperti yang dapat dilihat pada gambar diagram di atas, installer dari domain menempatkan file .exe kedua di folder% temp%. Installer kedua ini kemudian bertanggung jawab untuk menjatuhkan muatan utama dengan berbagai nama file di folder Program Files.
Setelah Adrozek terinstall, Adrozek mulai membuat modifikasi pada komponen browser, yang mana ini melibatkan perubahan pada ekstensi browser, seperti ekstensi default “Chrome Media Router” dalam kasus Chrome. Meskipun pola serangan pada setiap browser berbeda, tujuannya sama, yaitu menggunakan ID ekstensi yang andal dan berperilaku seolah-olah itu adalah sah.
Adrozek menginstal malware pada ekstensi ini, yang kemudian mendapatkan tambahan skrip berbahaya dengan mengirimkan permintaan ke server si penyerang. Selain meminta skrip yang memasukkan iklan, itu juga mengirimkan informasi tentang perangkat yang terinfeksi ke server.
Bagian lain dari rantai serangan termasuk memodifikasi DLL browser di semua browser, mematikan beberapa kontrol keamanan penting.
“In addition to modifying browser setting and components, Adrozek also changes several systems settings to have even more control of the compromised device. It stores its configuration parameters at the registry key HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\. The ‘tag’ and ‘did’ entries contain the command-line arguments that it uses to launch the main payload. More recent variants of Adrozek use random characters instead of ‘tag’ or ‘did’. To maintain persistence, the malware creates a service named “Main Service”.” Catat Microsoft
Yang Harus Pengguna Lakukan?
Pada dasarnya untuk sekarang Microsoft Defender sudah mendeteksi dan memblokir malware Adrozek ini menggunakan kemampuan AI, selain itu harusnya beberapa antimalware lain seperti Kaspersky dan kawan kawannya sendiri sudah mulai mencoba mengatasi masalah ini.
Untuk menambah dan meningkatkan keamanan, Microsoft merekomendasikan pengguna untuk tidak mendownload aplikasi atau ekstensi asing dari internet, selain itu selalu aktifkan antivirus kapanpun itu, mengaktifkan Windows Smartscreen, dan mengaktifkan User Account Control untuk mencegah akses aplikasi yang tidak diinginkan, selain itu diharapkan pengguna juga menguninstall aplikasi asing yang tampak di halaman Control Panel atau Settings > Apps.
Nah dengan ini diharapkan pengguna untuk berhati hati dalam mendownload aplikasi, gambar atau hal lainnya, selain itu pastikan juga untuk tidak pernah mematikan antivirus yang kamu gunakan, dan jangan lupa, jangan pernah tergoda dengan crack dan semacamnya. :)
Kamu bisa mempelajari mengenai hal ini di halaman Microsoft berikut.
