Maraknya situs web palsu yang mengatasnamakan Google Chrome menjadi ancaman serius bagi pengguna internet.
Kelompok peretas Silver Fox diduga menyebarkan malware ValleyRAT melalui unduhan browser Chrome palsu, menargetkan data sensitif korban, termasuk informasi keuangan dan kredensial sistem perusahaan.
Detail Serangan dan Modus Operandi Situs Palsu Chrome
1. Penyebaran via Situs Palsu Chrome
Pengguna yang mencari "Google Chrome" di mesin pencari dapat diarahkan ke situs palsu melalui iklan Google Ads atau teknik drive-by download.
Situs ini meniru tampilan resmi Chrome, tetapi menyediakan file ZIP berisi Setup.exe yang terinfeksi. Setelah dijalankan, file tersebut mengunduh tier0.dll (komponen ValleyRAT) dan sscronet.dll yang bertugas mematikan proses keamanan di komputer korban.
Malware juga memanfaatkan aplikasi sah seperti Douyin (versi China TikTok) untuk menyembunyikan aktivitas jahat (DLL sideloading).
Kelompok Silver Fox fokus pada pekerja yang memiliki akses ke data sensitif perusahaan bertujuan mencuri informasi finansial, kredensial sistem, atau dokumen rahasia untuk serangan lanjutan seperti ransomware atau penipuan.
- Memonitor Aktivitas: Merekam layar, keylogging (mencuri input keyboard), dan mengontrol perangkat dari jarak jauh.
- Komunikasi dengan Server Peretas: Mengirim data curian ke server Command and Control (C2) dan menerima perintah untuk mengunduh malware tambahan.
- Teknik Anti-Deteksi: Mengenkripsi payload dalam memori (Donut shellcode) dan memanfaatkan proses sistem seperti nslookup.exe untuk menghindari deteksi antivirus.
Kaitan ValleyRAT dengan Serangan Sebelumnya
ValleyRAT memiliki kemiripan dengan Gh0st RAT, malware yang pernah digunakan kelompok peretas China.
Peneliti Morphisec menemukan bahwa infrastruktur yang sama (misalnya, domain anizom[.]com) digunakan untuk menyebarkan kedua malware ini.
Selain itu, serangan ini juga dikaitkan dengan kampanye phishing menggunakan lampiran file SVG untuk menyebarkan keylogger Nymeria.
Langkah Pencegahan Malware ValleyRAT
Berdasarkan rekomendasi ahli keamanan:
- Unduh Hanya dari Sumber Resmi: Pastikan URL situs adalah google.com/chrome dan hindari tautan dari iklan atau email mencurigakan.
- Perbarui Sistem dan Antivirus: Gunakan solusi keamanan yang mendeteksi ancaman berbasis memori dan behavioral analysis.
- Waspadai File .ZIP dan .EXE: Hindari membuka file dari sumber tidak dikenal, terutama jika memiliki nama seperti "Setup.exe".
- Aktifkan Fitur Safe Browsing: Chrome memiliki fitur untuk memblokir situs phishing dan malware secara real-time.
Sumber Berita:
- Laporan CSIRT Indonesia: Waspada! Situs Palsu Chrome Sebarkan Malware ValleyRAT.
- Penelitian Morphisec: Rat Race: ValleyRAT Malware Targets Organizations.
- Advisory Rewterz: Fake Chrome Sites Spreading ValleyRAT.
