LegionLoader: Malware yang Menginfeksi Ekstensi Chrome untuk Menyebarkan Infostealer

2025-01-03 08:29:30 | https://cyberpress.org/legionloader-hijacks-chrome-extensions/

Pendahuluan

LegionLoader adalah malware downloader yang ditulis dalam bahasa C/C++, pertama kali muncul pada tahun 2019. Sejak saat itu, malware ini terus berkembang dengan menggunakan berbagai taktik, termasuk penyebaran ekstensi Chrome yang berbahaya. Ekstensi ini dapat memanipulasi email, memantau aktivitas browsing, dan bahkan mengubah browser yang terinfeksi menjadi proxy HTTP.

Fitur Berbahaya dari LegionLoader

  • Pencurian Data: Ekstensi yang disebarkan dapat menangkap tangkapan layar dan berinteraksi dengan akun keuangan di platform seperti Facebook, Coinbase, dan Google Pay.

  • Penyebaran Melalui Unduhan Berbahaya: LegionLoader menyebar terutama melalui unduhan yang tidak disengaja, mengarahkan korban ke situs web yang menyajikan installer palsu. Proses ini sering kali melibatkan pengalihan ke RapidShare yang kemudian mengarah ke MEGA untuk pengunduhan payload.

Proses Infeksi

  1. Pengunduhan dan Dekripsi: File MSI yang diunduh mengirimkan informasi tanggal, waktu, dan bahasa ke server untuk mendapatkan password yang digunakan untuk mendekripsi arsip ZIP yang berisi file DLL berbahaya.

  2. Injeksi Proses: File DLL tersebut dimasukkan ke dalam proses yang sah (seperti explorer.exe) menggunakan teknik injeksi proses hollowing.

  3. Koneksi ke Server C2: LegionLoader terhubung ke server command-and-control (C2) untuk mengunduh konfigurasi yang dienkripsi dan dikodekan dalam Base64.

Eksekusi Ekstensi Berbahaya

  • Pengunduhan File Enkripsi: Loader pertama-tama mengunduh file terenkripsi dari server C2, yang namanya dihasilkan menggunakan algoritma Mersenne Twister.

  • Eksekusi File: Jika file yang didekripsi adalah executable, file tersebut akan dinamai ulang menjadi svchost.exe dan ditempatkan di subfolder di %TEMP%. Jika file tersebut adalah DLL, maka rundll32.exe digunakan untuk mengeksekusinya.

Indikator Ancaman dan Mitigasi

Pengguna disarankan untuk memantau beberapa indikator kunci, termasuk:

  • Permintaan HTTP GET mencurigakan ke URL tertentu.
  • Keberadaan file svchost.exe yang tidak terduga di folder TEMP.
  • Penurunan file ZIP dan MSI dengan konvensi penamaan tertentu di folder Downloads.

Kesimpulan

LegionLoader adalah ancaman serius yang memanfaatkan ekstensi Chrome untuk menyebarkan malware dan mencuri informasi sensitif. Pengguna harus waspada dan melakukan langkah-langkah pencegahan untuk melindungi diri dari infeksi ini.