Awas! Ada Ad Blocker Berbahaya yang Dirancang Untuk Menambang Cryptocurrency

Ad blocker iklan

Ad Blocker Iklan - Seperti namanya, tugas utama dari ad blocker adalah memblokir seluruh iklan yang ada di suatu website tertentu. Iklan yang diblokir biasanya sudah terdaftar di dalam database ad blocker, tetapi jika tautan iklan tersebut belum dimasukkan, maka iklan tersebut tidak akan diblokir secara langsung.

Namun, apa jadinya jika pemblokiran iklan hanya sebuah gimmick semata yang pada sesungguhnya menyembunyikan seribu cara untuk melakukan tindakan semena-mena dari perangkat pengguna yang sudah menginstallnya. Pasalnya peneliti keamanan dari Kaspersky yang diungkap oleh Anton Kuzmento, bahwa timnya telah menemukan ad blocker yang digunakan untuk menambang cryptocurrency melalui perangkat pengguna.

"Beberapa waktu lalu, kami menemukan sejumlah aplikasi palsu yang mengirimkan penambang cryptocurrency Monero ke komputer pengguna. Mereka didistribusikan melalui situs web berbahaya yang mungkin muncul di hasil penelusuran korban. Dilihat dari tampilannya, tampaknya ini merupakan kelanjutan dari kampanye musim panas yang diliput oleh kolega kami dari Avast. Saat itu, penjahat dunia maya mendistribusikan malware dengan kedok penginstal antivirus Malwarebytes." kata Anton, dalam tulisan blognya.

Setelah diusut lebih dalam, ternyata malware berkedok ad blocker ini bernama AdShield Pro yang telah ada sejak awal Februari 2021 yang telah menyerang 7.000 pengguna di berbagai negara dan laporan terbarunya ada sekitar 2.500 serangan perhari. Menurut data yang dilaporkan Kaspersky Security Network, sebagian besar korban dari negara Rusia, Ukraina, Romania, Armenia, Azerbaijan, Belarusia, dan negara yang berada di wilaya Commonwealth of Independent (CIS).

"Malware juga berperan sebagai perangkat lunak jaringan OpenDNS, pemblokir iklan NetShield dan perangkat lunak anti-malware Malwarebytes," kata Kaspersky.

Menurut laporan Avast, perangkat lunak yang dimiliki Malwarebytes paling sering dijadikan ancaman siber untuk menyebarkan malware berbahaya yang menargetkan lebih dari 100.000 pengguna PC pada Agustus 2020 melalui situs bajakan.

Sebelum melakukan penambangan cryptocurrency Monero, AdShield Pro akan mengunci file di komputer yang sudah terinfeksi. File penambang tersebut diberi nama sebagai data.pak yang nantinya akan mengeksekusi file lain yaitu flock.exe dan lic.data. Tujuannya agar setiap mesin komputer yang terinfeksi tidak dapat dianalisis melalui mesin virtual serta menghindari deteksi statis.

Malware juga mengunduh dan menginstal versi sah dari klien Transmission Bittorrent dan membuat pintu belakang sehingga penjahat dapat mengakses dan mengontrol mesin dari jarak jauh. Ini mengubah rute pengaturan DNS PC sehingga pencarian alamat situs web diselesaikan oleh server penyerang sendiri dan koneksi ke situs web antivirus diblokir.

Setelah mengganti server DNS, malware mulai memperbarui dirinya sendiri dengan menjalankan update.exe dengan argumen self-upgrade ("C: \ Program Files (x86) \ AdShield \ updater.exe" -self-upgrade). Updater.exe menghubungi C&C dan mengirimkan data tentang mesin yang terinfeksi dan informasi tentang awal penginstalan. Beberapa baris dalam file yang dapat dieksekusi, termasuk baris dengan alamat server C&C, dienkripsi untuk mempersulit pendeteksian statis.

Peneliti keamanan dari Kaspersky Security telah merilis hasil dari penelitian yang menyatakan malware AdShield Pro di definisikan sebagai :
  • Win64.Patched.netyyk
  • Win32.DNSChanger.aaox
  • Win64.Miner.gen
  • HEUR:Trojan.Multi.Miner.gen
Domain yang terdeteksi :
  • hxxp://adshield.pro
  • hxxp://transmissionbt.org
  • hxxp://netshieldkit.com
  • hxxp://opendns.info

Cara Menghapus Malware Ad Blocker AdShield Pro

Jika sebelumnya tidak memiliki perangkat lunak antivirus seperti Malwarebytes, Kaspersky dan sejenisnya, cara yang harus kamu lakukan adalah memeriksa folder satu persatu lalu menghapusnya secara manual terutama jika file QtWinExtras.dll telah terdeteksi di komputer. Berikut lokasi folder yang harus diperiksa :
  • %program files%\malwarebytes
  • program files (x86)\malwarebytes
  • %windir%\.old\program files\malwarebytes
  • %windir%\.old\program files (x86)\malwarebytes
  • C:\ProgramData\Flock
  • %allusersprofile%\start menu\programs\startup\flock
  • %allusersprofile%\start menu\programs\startup\flock2
Setelah itu, uninstall semua yang berkaitan dengan ad blocker tersebut dan jangan lupa periksa juga Windows Task Manager apakah ada sesuatu yang berjalan tanpa diketahui. Jika iya, hentikan secepatnya.

Posting Komentar

0 Komentar