Para peneliti telah mengendus kerangka kerja malware yang menargetkan browser besar yang diinstal pada mesin Window, dan telah menghasilkan lebih dari 1 miliar tayangan Google AdSense palsu dalam tiga bulan terakhir saja.
“Framework ini dirancang untuk memuat statistik di situs sosial dan tayangan iklan, menciptakan pendapatan bagi operatornya yang menggunakan botnet untuk menyerang konten dan platform iklan dengan menyebarkan malware dan menargetkan browser termasuk Google Chrome, Mozilla Firefox, dan browser Yandex,” Jelas peneliti Flashpoint Jason Reaves dan Joshua Platt dalam posting blog perusahaan yang diterbitkan hari ini.
Malware ini paling banyak ditemukan di Rusia, Ukraina dan Kazakhstan.
Setelah menginfeksi peramban, malware mengeksekusi dalam tiga tahap. Pertama, penginstal membangun kegigihan dengan mengatur dirinya sebagai tugas yang berkaitan dengan pembaruan Windows, dan kemudian secara langsung membuat ekstensi browser baru atau mengunduh modul untuk tujuan yang sama.
Berikutnya adalah modul Finder, yang mencuri login dan cookie browser dan mengekstraknya ke server perintah-dan-kontrol dalam file .zip. Itu juga berkomunikasi dengan panel C2 terpisah, yang menentukan "seberapa sering untuk memeriksa dengan bot yang dikompromikan dan mengirim kembali kredensial curian dan data cookie," laporan Flashpoint.
Tahap ketiga melibatkan modul Patcher, yang menginstal ekstensi browser, yang dirancang untuk menyuntikkan skrip ke berbagai halaman web atau menghasilkan lalu lintas yang tetap tidak terlihat oleh pengguna. Namun, tidak semua situs web terpengaruh: domain Google tertentu, situs web Rusia, dan situs web porno telah dimasukkan dalam daftar hitam.
Framework malware juga mencakup kode yang mencari rujukan YouTube dan, setelah menemukannya, menyuntikkan JavaScript dengan kode yang secara curang menghasilkan suka untuk video. Sebagian besar video YouTube ini menampilkan konten yang terkait dengan politik Rusia, laporan Flashpoint. Selain itu, framework ini juga menampilkan kode untuk menyuntikkan browser dengan iframe yang memutar aliran Twitch yang tetap tersembunyi dari pengguna yang terinfeksi. Fungsi YouTube dan Twitch ini keduanya juga merupakan produsen konten untuk mendukung statistik mereka.
Sumber Artikel : SCMagazine
