Google Chrome Disalahgunakan untuk Mengirimkan Malware sebagai Aplikasi Win 10 ‘Legit’

Penjahat di balik kampanye malware yang baru diidentifikasi menargetkan Windows 10 dengan malware yang dapat menginfeksi sistem melalui teknik yang dengan cerdik melewati perlindungan keamanan siber Windows yang disebut Kontrol Akun Pengguna (UAC).

Peneliti dari Rapid7 baru-baru ini mengidentifikasi kampanye tersebut dan memperingatkan bahwa tujuan penyerang adalah untuk mengeluarkan data sensitif dan mencuri cryptocurrency dari PC yang terinfeksi yang ditargetkan.

Andrew Iwamaye, analis riset Rapid7, mengatakan bahwa malware mempertahankan kegigihan pada PC “dengan menyalahgunakan variabel lingkungan Windows dan tugas terjadwal asli untuk memastikannya terus-menerus dijalankan dengan hak istimewa yang lebih tinggi.”

Iwamaye menulis dalam posting blog yang diterbitkan Kamis, rantai serangan dimulai ketika pengguna browser Chrome mengunjungi situs web berbahaya dan “layanan iklan browser” meminta pengguna untuk mengambil tindakan. Pertanyaan tentang apa yang peneliti identifikasi sebagai “layanan iklan browser” belum dikembalikan pada tulisan ini.

Target Serangan: Kredensial & Mata Uang Kripto  

Tujuan akhir penyerang adalah menggunakan malware pencuri info untuk mengambil data seperti kredensial browser dan mata uang kripto. Perilaku jahat tambahan termasuk mencegah browser memperbarui dan membuat kondisi sistem yang siap untuk eksekusi perintah sewenang-wenang, tulis Iwamaye:

Attackers menggunakan situs web yang disusupi yang dibuat khusus untuk mengeksploitasi versi browser Chrome (berjalan di Windows 10) untuk mengirimkan muatan berbahaya, ditemukan peneliti. Investigasi ke file riwayat browser Chrome pengguna yang terinfeksi menunjukkan pengalihan ke sejumlah domain yang mencurigakan dan rantai pengalihan tidak biasa lainnya sebelum infeksi awal, tulis Iwamaye.

“Dalam penyelidikan pertama, profil Chrome pengguna mengungkapkan bahwa pengaturan izin situs untuk domain yang mencurigakan , birchlerarroyo[.]com, diubah sesaat sebelum pengalihan,” tulisnya. “Secara khusus, pengguna memberikan izin ke situs yang dihosting di birchlerarroyo[.]com untuk mengirim pemberitahuan kepada pengguna.”

Setelah analisis lebih lanjut, peneliti menemukan bahwa birchlerarroyo[.]com menyajikan pemberitahuan browser yang meminta izin untuk menampilkan pemberitahuan kepada pengguna. Ini serta referensi ke file JavaScript yang mencurigakan dalam kode sumbernya membuat tim Rapid7 curiga bahwa itu telah disusupi, kata Iwamaye.

Tidak jelas dari penelitian, mengapa atau bagaimana pengguna akan dibujuk untuk mengizinkan situs mengirim pemberitahuan permintaan melalui browser Chrome. Namun, setelah pemberitahuan diizinkan, pengguna browser diberi tahu bahwa browser web Chrome mereka perlu diperbarui. Mereka kemudian diteruskan ke “halaman web bertema pembaruan Chrome yang meyakinkan.”
Ini adalah gambar dari peneliti halaman pembaruan browser Chrome palsu dan berbahaya di Rapid7 yang ditemukan.

Aplikasi Windows Berbahaya di Pakaian Domba

Pembaruan browser Chrome berbahaya yang ditautkan ke paket aplikasi Windows disebut file tipe MSIX. Nama file MSIX adalah “oelgfertgokejrgre.msix” dan dihosting di domain chromesupdate[.]com. Peneliti Rapid7 mengonfirmasi bahwa file tersebut adalah paket aplikasi Windows.

Fakta bahwa muatan berbahaya adalah file aplikasi Windows adalah signifikan karena beberapa alasan.

“Malware yang kami rangkum dalam posting blog ini memiliki beberapa trik. Mekanisme pengirimannya melalui layanan iklan sebagai aplikasi Windows (yang tidak meninggalkan artefak forensik unduhan berbasis web yang khas), jalur penginstalan aplikasi Windows, dan teknik bypass UAC dengan memanipulasi variabel lingkungan dan tugas terjadwal asli dapat tidak terdeteksi oleh berbagai solusi keamanan atau bahkan oleh analis SOC berpengalaman,” tulis Iwamaye.

Peneliti lebih lanjut menjelaskan:

“Karena paket aplikasi Windows berbahaya yang diinstal oleh file MSIX tidak di-host di Microsoft Store, sebuah prompt disajikan untuk mengaktifkan instalasi aplikasi sideload , jika belum diaktifkan, untuk memungkinkan penginstalan aplikasi dari sumber tidak resmi,” tulis peneliti.

Setelah Masuk, Eksploitasi Dimulai

Jika pembaruan Chrome berbahaya dijalankan, mesin akan terinfeksi dan serangan dimulai.

Tahap pertama serangan melibatkan Perintah PowerShell dihasilkan oleh executable bernama HoxLuSfo.exe, yang dibuat oleh sihost.exe, proses latar belakang yang meluncurkan dan memelihara pusat tindakan dan pemberitahuan Windows.

Tujuan perintah ini adalah untuk melakukan bypass UAC Utilitas Pembersihan Disk, yang dimungkinkan karena “kerentanan di beberapa versi Windows 10 yang memungkinkan file terjadwal asli tugas untuk mengeksekusi kode arbitrer dengan memodifikasi konten variabel lingkungan,” tulis Iwamaye.

Secara khusus, perintah PowerShell mengeksploitasi penggunaan variabel lingkungan %windir% di jalur yang ditentukan dalam tugas terjadwal “SilentCleanup” dengan mengubah nilai yang ditetapkan untuk variabel. Perintah menghapus variabel lingkungan %windir% yang ada dan menggantinya dengan yang baru diatur ke: %LOCALAPPDATA%MicrosoftOneDrivesetupst.exe REM.

Ini kemudian mengonfigurasi tugas terjadwal “SilentCleanup” untuk menjalankan perintah berikut kapan pun tugas “SilentCleanup” dipicu: %LOCALAPPDATA%MicrosoftOneDrivesetupst.exe REMsystem32cleanmgr.exe /autoclean /d %systemdrive%.

Proses ini memungkinkan Perintah PowerShell untuk membajak tugas terjadwal “SilentCleanup” untuk menjalankan executable yang diinginkan—dalam hal ini, HoxLuSfo.exe dan st.exe, yang terakhir dengan hak istimewa yang lebih tinggi, tulis Iwamaye.

Operasi Payload

Researchers tidak dapat mengambil file payload dari sampel yang mereka analisis karena tidak ada lagi saat mereka menyelidiki . Namun, mereka menggunakan sampel dari VirusTotal untuk mengintip di bawah kap.

Apa yang mereka temukan adalah bahwa HoxLuSfo.exe adalah Microsoft Visual Studio .NET 32-bit yang dapat dieksekusi yang berisi kode yang dikaburkan yang dapat memodifikasi file host pada aset yang terinfeksi untuk mencegah resolusi yang benar dari URL pembaruan browser yang umum untuk mencegah pembaruan browser, tulis Iwamaye.

Payload juga menghitung browser yang diinstal dan mencuri kredensial dari browser yang diinstal; membunuh proses bernama Google, MicrosoftEdge dan setu; dan mencakup fungsionalitas untuk mencuri cryptocurrency serta untuk menjalankan perintah sewenang-wenang pada aset yang terinfeksi, tulisnya.

Peneliti memberikan analisis forensik terperinci dari kampanye serta daftar indikator kompromi yang komprehensif di pos untuk membantu pengguna mencegah dan mengurangi serangan.