Google Chrome adalah browser web paling banyak digunakan di dunia, dan dominasi ini menjadikannya target ideal bagi penjahat siber untuk menyebarkan malware ke pengguna yang tidak curiga. Tim riset ancaman dari SonicWall Capture Labs baru-baru ini menemukan sebuah situs web yang tampaknya sah, tempat pengguna dapat mengunduh dan menginstal Google Chrome. Namun, situs tersebut adalah palsu – situs ini menginstal file berbahaya yang sama sekali tidak berhubungan dengan Google Chrome.
Siklus Infeksi
Seorang pengguna yang tidak curiga diarahkan ke situs yang tampak sah dengan URL berikut:
httpx://google.tw.cn
🖼️ Gambar 1: Situs palsu yang terlihat seperti halaman resmi unduhan Google Chrome
Saat pengguna mengklik tombol unduh, sebuah file arsip bernama “Goegle sretp.zip” akan diunduh. Di dalam file ZIP ini terdapat file executable (aplikasi) dengan nama yang sama.
🖼️ Gambar 2: File ZIP yang diunduh
Agar terlihat lebih meyakinkan, file installer ini memiliki deskripsi file “Google Browser”.
🖼️ Gambar 3: Properti file installer “Goegle sretp.exe”
Saat file dijalankan, akan muncul jendela instalasi yang membimbing pengguna seolah-olah sedang menginstal Google Chrome.
🖼️ Gambar 4: Jendela instalasi palsu
Setelah instalasi selesai, sebuah shortcut bernama “Google Chrome” akan ditambahkan ke desktop. Namun, file .lnk ini tidak membuka browser – melainkan menjalankan aplikasi lain yang tidak terkait.
🖼️ Gambar 5: Shortcut “Google Chrome” di desktop yang menjalankan aplikasi tersembunyi
Apa yang Terjadi di Balik Layar?
File bernama “svcorenos.exe” dijalankan secara diam-diam di latar belakang. File ini adalah yang akan dijalankan ketika pengguna mengklik shortcut “Google Chrome” palsu tersebut. File ini menggunakan aplikasi Windows sah bernama “ComputerDefaults.exe” untuk menjalankan salinan dirinya sendiri – kemungkinan besar untuk menghindari deteksi antivirus.
🖼️ Gambar 6: ComputerDefaults.exe digunakan untuk menjalankan svcorenos.exe
Program svcorenos.exe sebenarnya adalah salinan yang telah diganti nama dari aplikasi sah DS Clock milik Duality Software. DS Clock adalah utilitas desktop gratis untuk menampilkan waktu dan tanggal yang bisa disesuaikan. Namun, dalam kasus ini, malware menyalahgunakan aplikasi tersebut untuk terhubung ke server jarak jauh dan mengirim/ menerima data.
Selama analisis, file ini terus terhubung dengan alamat IP berbahaya: 103(.)215(.)78(.)57
🖼️ Gambar 7 & 8: svcorenos.exe terus melakukan koneksi ke host jarak jauh dan bertukar data
Persistensi Malware
Untuk memastikan aplikasi ini berjalan setiap kali sistem dihidupkan, malware ini ditambahkan ke dalam registry Windows sebagai layanan:
sql
CopyEdit
HKLM\System\CurrentControlSet\Services\svcorenos project
Perlindungan SonicWall
SonicWall Capture Labs telah menyediakan perlindungan terhadap ancaman ini melalui signature berikut:
- GAV: Malagent.CRM (Trojan)
Ancaman ini juga dapat terdeteksi oleh:
- SonicWall Capture ATP dengan RTDMI
- Solusi endpoint Capture Client
Kesimpulan:
Berhati-hatilah saat mengunduh perangkat lunak dari internet. Pastikan hanya mengakses situs resmi seperti google.com/chrome untuk unduhan browser. Malware canggih kini semakin pandai meniru tampilan situs sah demi menipu pengguna agar secara tidak sadar menginstal aplikasi berbahaya.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!