Beberapa keluarga malware infostealer telah mengembangkan teknik baru untuk mengatasi fitur keamanan Application-Bound Encryption milik Google Chrome, yang diperkenalkan pada Juli 2024 untuk melindungi cookie dan data pengguna yang tersimpan.
Langkah keamanan canggih ini, Application-Bound Encryption, diluncurkan pada Chrome versi 127 di bulan Juli 2024 untuk meningkatkan keamanan penyimpanan cookie pada sistem Windows.
Application-bound encryption dirancang untuk mengatasi kerentanan pada metode enkripsi Windows Data Protection API (DPAPI) sebelumnya. Namun, para pengembang malware dengan cepat beradaptasi, menciptakan teknik bypass baru untuk mempertahankan kemampuan mereka mencuri data sensitif pengguna.
Elastic Security Labs menemukan bahwa beberapa malware terkenal seperti STEALC/VIDAR, METASTEALER, PHEMEDRONE, XENOSTEALER, dan LUMMA telah menerapkan metode bypass canggih untuk tetap dapat mencuri data browser yang sensitif.
Varian malware ini menggunakan berbagai teknik seperti remote debugging, membaca memori proses Chrome, dan manipulasi token sistem.
Teknik Bypass Unggulan dalam Perlindungan Cookie
STEALC/VIDAR telah mengintegrasikan komponen dari alat keamanan ofensif ChromeKatz, yang memungkinkannya memindai dan menghentikan proses Chrome sebelum mengekstrak nilai cookie yang belum terenkripsi dari memori browser.
METASTEALER menggunakan pendekatan berbeda dengan menyamar sebagai token SYSTEM dan memanfaatkan layanan elevasi Chrome melalui antarmuka COM untuk mendekripsi data yang dilindungi. Meskipun diklaim dapat bekerja tanpa hak akses administrator, pengujian menunjukkan bahwa akses yang ditingkatkan tetap diperlukan.
PHEMEDRONE memanfaatkan kemampuan remote debugging Chrome, menjalin koneksi melalui protokol DevTools Chrome untuk mengekstrak cookie. Malware ini beroperasi secara tersembunyi dengan menempatkan jendela Chrome di luar layar untuk menghindari deteksi.
Munculnya teknik bypass ini menjadi tantangan besar bagi keamanan browser. Meski Application-Bound Encryption dari Google berhasil memaksa perancang malware mengadopsi metode yang lebih canggih dan dapat terdeteksi, ancaman ini belum sepenuhnya dapat dihentikan, demikian menurut laporan tersebut.
Para ahli keamanan merekomendasikan untuk memantau beberapa perilaku mencurigakan berikut:
- Proses yang tidak biasa mengakses cookie browser
- Berulang kali penghentian proses Chrome diikuti oleh aktivasi layanan elevasi
- Debugging browser dari proses induk yang tidak terduga
- Eksekusi file yang tidak ditandatangani dari folder aplikasi Chrome.
Komunitas keamanan terus mengawasi perkembangan ini. Para peneliti mencatat bahwa meskipun teknik baru ini berhasil, mereka menciptakan pola yang lebih mudah dideteksi oleh alat keamanan.
Organisasi disarankan untuk menjaga pemantauan endpoint yang kuat dan menerapkan instrumen keamanan untuk mendeteksi ancaman yang terus berkembang ini.
Pertarungan berkelanjutan antara langkah-langkah keamanan dan pengembang malware ini menyoroti perlunya inovasi berkelanjutan dalam keamanan browser.
Meski mekanisme perlindungan Google telah meningkatkan standar bagi penyerang, adaptasi cepat dari keluarga malware menunjukkan sifat tantangan keamanan yang persisten ini.
#Lindungi Data!
Sebagai perusahaan yang berkomitmen untuk membuat dunia digital yang lebih baik, PT Digital Solusi Grup mengajak Anda untuk selalu menjaga keamanan perangkat dan data Anda. Hubungi tim ahli kami di bidang cyber security untuk konsultasi lebih lanjut dan layanan perlindungan menyeluruh. Bersama kami, amankan bisnis Anda dari ancaman siber yang terus berkembang. Lindungi, Aman, dan Sukses bersama PT Digital Solusi Grup!
Referensi:
Infostealer Malwares Bypassing Chrome’s Cookie Protection to Steal Data, Cyber Security News.
Baca Juga : Pelanggaran Data UnitedHealth Berdampak pada Lebih dari 100 Juta Pengguna di Amerika
