Muncul Hacker PuzzleMaker, Eksploitasi Zero-day Google Chrome dan Windows 10
Ilustrasi | Foto: freepik.com
Cyberthreat.id –Muncul penjahat siber bernama “PuzzleMaker”. Mereka mengeksploitasi kerentanan zero-day (yang belum ditambal) pada peramban web Google Chrome dan Windows 10 dalam serangan yang ditargetkan di sejumlah perusahaan.
Kaspersky, perusahaan keamanan siber asal Rusia yang meneliti aktivitas mereka, mengatakan, PuzzleMaker pertama kali terlihat pada pertengahan April 2021.
Peretas mengeksploitasi kerentanan eksekusi kode jarak jauh (RCE) di Google Chrome V8. Dari sini, mereka masuk untuk mendapatkan hak istimewa yang dirancang khusus meretas Windows 10, terutama melalui kerentanan di Windows kernel (CVE-2021-31955) dan bug eskalasi hak istimewa Windows NTFS (CVE-2021-31956)—keduanya ini baru ditambal oleh Microsoft pada “June Patch Tuesday”, Selasa (8 Juni 2021).
Menurut Kaspersky, penyerang menyalahgunakan Windows Notification Facility (WNF) bersama dengan kerentanan CVE-2021-31956 untuk mengeksekusi modul malware dengan hak istimewa sistem pada Windows 10 yang diretas.
“Setelah penyerang menggunakan eksploitasi Chrome dan Windows untuk mendapatkan pijakan di sistem yang ditargetkan, modul stager mengunduh dan mengeksekusi penjatuh (dropper) malware dari server jarak jauh,” kata Kaspersky seperti dikutip dari BleepingComputer, diakses Kamis (10 Juni).
Dropper tersebut kemudian menginstal dua file executable yang berpura-pura menjadi file sah milik Windows. Salah satu dari file tersebut adalah modul shell jarak jauh yang “tidur” selama periode waktu tertentu, selanjutnya menghapus dirinya sendiri dari sistem yang tersusupi itu.
Ini bukan kali pertama peretas memanfaatkan serangan berantai dari beberapa kerentanan. Sebelumnya, Pr0ject Zero—tim pemburu kerentanan zero-day Google, juga mendeteksi operasi skala besar dari penjahat siber yang menggunakan 11 zero-day. Target mereka Windows, iOS, dan Android dalam satu tahun.
Melihat temuan-temuan tersebut, Peneliti keamanan senior di Global Research and Analysis Team (GReAT), Boris Larin, mengatakan, sudah seharusnya hal itu menjadi menjadi pengingat, bahwa eksploitasi zero-day masih terus menjadi metode paling efektif untuk menginfeksi target.[]
