Para peretas sedang menggunakan ekstensi browser berbahaya untuk menginfeksi keduanya Google Chrome Dan Tepi Microsoft dengan malware berbahaya yang dapat mencuri data pribadi Anda dan membuat komputer Anda berisiko terkena serangan lebih lanjut.
Seperti yang dilaporkan oleh Berita Peretaskampanye malware yang baru ditemukan ini telah aktif sejak 2021 dan sejauh ini, setidaknya 300.000 pengguna Chrome dan Edge telah menjadi korbannya.
Hal yang membuat malware ini sangat berbahaya adalah fakta bahwa ia dapat mencapai kegigihan pada PC yang terinfeksi. Ini berarti bahwa meskipun Anda menghapus ekstensi berbahaya tersebut, malware akan aktif kembali saat Anda me-restart komputer Anda berikutnya.
Berikut semua yang perlu Anda ketahui tentang kampanye malware ini dan bagaimana Anda dapat menghapus ekstensi berbahaya yang digunakan di dalamnya untuk selamanya.
Menggunakan malvertising untuk menyebarkan situs palsu
Seperti kampanye malware lainnya, kampanye ini menggunakan iklan yang salah untuk mengelabui pengguna yang tidak menaruh curiga agar mengunduh dan memasang perangkat lunak berisiko.
Para peretas di baliknya telah membuat situs serupa yang meniru perangkat lunak dan layanan populer seperti Roblox FPS Unlocker, YoutubeVLC media player, Steam atau Keepass. Sementara calon korban mengira mereka memasang perangkat lunak atau ekstensi yang sah, mereka sebenarnya mengunduh trojan yang memasang ekstensi berbahaya yang digunakan oleh malware ini.
Penginstal jahat yang ditandatangani secara digital yang digunakan dalam kampanye ini mendaftarkan tugas terjadwal pada PC yang rentan yang kemudian mengeksekusi Skrip PowerShell yang mengunduh dan mengeksekusi muatan tahap berikutnya dari server jarak jauh yang dikendalikan peretas.
Sebagai bagian dari muatan tahap berikutnya ini, malware memodifikasi Windows Registry PC yang terinfeksi untuk memaksa instalasi ekstensi Chrome dan Edge yang digunakan untuk penipuan iklan dengan membajak pencarian web di Google dan Bing dan kemudian mengarahkannya melalui server peretas. Lebih parahnya lagi, versi terbaru malware ini bahkan dapat mencegah pembaruan peramban diinstal, sehingga korban berisiko terkena serangan lainnya.
Untungnya, ada perbaikan tetapi memerlukan beberapa pengetahuan teknis.
Cara menghapus malware ini dari PC Anda untuk selamanya
Di sebuah postingan blog merinci temuan peneliti keamanannya, ReasonLabs memberikan wawasan lebih jauh tentang cara menghapus malware ini dan ekstensi berbahaya yang digunakan dalam kampanye ini dari PC Anda dengan benar.
Hal pertama yang harus dilakukan adalah menghapus tugas terjadwal dari PC Anda. Ini dilakukan dengan mengklik Menu Mulai atau menekan tombol Tombol Windows pada keyboard Anda dan kemudian mencari Penjadwal Tugas.
Setelah Penjadwal Tugas dibuka, Anda perlu mengklik Perpustakaan Penjadwal Tugas untuk menampilkan semua tugas di PC Anda. Meskipun nama tugas yang digunakan oleh malware ini bervariasi, Anda dapat mengidentifikasinya dengan mengklik tugas, membukanya, lalu mengklik TindakanPada tabel di bawah Tindakan, Anda dapat melihat Rincian dan di sini, Anda ingin mencari jalur ke “c:\windows\system32” dan skrip PowerShell atau file yang diakhiri dengan “.ps1”. ReasonLabs mencatat bahwa nama tugas akan sering mirip dengan nama skrip PowerShell. Setelah Anda menemukan tugas berbahaya, klik kanan pada namanya lalu klik Menghapus.
Setelah ini, Anda perlu menghapus kunci registri yang memaksa ekstensi berbahaya di browser Anda. Ini lebih sulit tetapi Anda dapat membuka Editor Registri dengan cara yang sama seperti yang Anda lakukan dengan Penjadwal Tugas. Namun perlu diingat bahwa Anda tidak boleh mengutak-atik registri komputer kecuali Anda benar-benar tahu apa yang Anda lakukan. Jika ragu, mintalah bantuan teman atau bawa PC Anda ke profesional.
Dengan Registry Editor yang terbuka, Anda perlu masuk ke “Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist”. Di panel kanan ini, akan ada daftar ekstensi dengan nilai numerik sebagai “Name” dan Extension ID sebagai “Data”. Kemudian klik kanan pada nama dan kemudian klik Menghapus. Anda juga harus melakukan hal ini untuk kunci registri ini: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist.”
Karena malware ini memengaruhi Chrome dan Edge, Anda perlu mengulangi proses yang sama untuk ekstensi Edge di jalur ini: “Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist”.
Meskipun Anda dapat menghapus file malware sendiri, akan lebih baik jika Anda menggunakan salah satu perangkat lunak antivirus terbaik solusi untuk melakukannya bagi Anda. Jika Anda ingin melakukannya secara manual, Anda dapat menemukan petunjuk di akhir posting blog ReasonLabs yang ditautkan di atas.
Menjalani proses penghapusan ekstensi berbahaya dan malware yang telah mereka masukkan ke PC Anda mungkin sudah lebih dari cukup untuk memastikan Anda berpikir dua kali sebelum mengunduh perangkat lunak atau ekstensi browser baru dari sumber yang tidak dapat dipercaya. Jika Anda ingin mengunduh ekstensi baru, lakukan dari Toko Web Chrome atau dari Toko Add-on Microsoft Edge.