Perangkat Lunak Bertanda Tangan Sah Disalahgunakan untuk Sebar Skrip ‘Pembunuh’ Antivirus

Sebuah alat adware yang ditandatangani secara digital (memiliki sertifikat sah) kedapatan menyebarkan muatan (payload) yang berjalan dengan hak istimewa SYSTEM. Muatan berbahaya ini dirancang khusus untuk melumpuhkan pelindungan antivirus pada ribuan perangkat titik akhir (endpoints), yang beberapa di antaranya merupakan milik sektor pendidikan, utilitas, pemerintah, dan perawatan kesehatan.

Hanya dalam waktu satu hari, para peneliti mengamati lebih dari 23.500 host yang terinfeksi di 124 negara berusaha terhubung ke infrastruktur operator, dengan ratusan perangkat yang terinfeksi berada di dalam jaringan bernilai tinggi.

Lebih dari Sekadar Adware Biasa

Para peneliti dari perusahaan keamanan terkelola Huntress menemukan kampanye ini pada 22 Maret lalu, ketika fail executable (exe) bertanda tangan yang diklasifikasikan sebagai program yang mungkin tidak diinginkan (PUP) memicu peringatan di berbagai lingkungan yang mereka kelola.

PUP atau adware biasanya hanya dianggap sebagai gangguan alih-alih ancaman siber berbahaya. Peran utamanya secara historis adalah untuk menghasilkan pendapatan bagi pengembang dengan menampilkan pop-up iklan, spanduk, atau melalui pengalihan browser.

Namun, temuan Huntress menunjukkan hal yang berbeda. Perangkat lunak ini ditandatangani oleh sebuah entitas bernama Dragon Boss Solutions LLC, yang terlibat dalam aktivitas “riset monetisasi pencarian”. Mereka mempromosikan berbagai alat yang dilabeli sebagai peramban web—seperti Chromstera Browser, Chromnius, WorldWideWeb, Web Genius, dan Artificius Browser—namun dideteksi sebagai PUP oleh banyak solusi keamanan.

Lebih buruk dari sekadar mengganggu pengguna dengan iklan, peramban palsu dari Dragon Boss Solutions ini ternyata memiliki mekanisme pembaruan tingkat lanjut yang secara diam-diam menyebarkan ‘pembunuh’ antivirus (AV killer).

Mekanisme Pelumpuhan Keamanan

Investigasi Huntress mengungkapkan bahwa operasi ini mengandalkan mekanisme pembaruan dari alat komersial Advanced Installer untuk menyebarkan muatan MSI dan PowerShell. Analisis terhadap berkas konfigurasi untuk proses pembaruan tersebut menyingkap beberapa parameter yang membuat operasi berjalan sepenuhnya senyap tanpa interaksi pengguna.

Proses ini menginstal muatan dengan hak istimewa tertinggi (SYSTEM), mencegah pengguna menonaktifkan pembaruan otomatis, dan memeriksa pembaruan baru secara konstan.

• Penyamaran Muatan: Proses pembaruan mengambil muatan MSI (Setup.msi) yang disamarkan sebagai fail gambar GIF. Saat ini, fail tersebut hanya ditandai sebagai malware oleh lima vendor keamanan di VirusTotal.
• Pengintaian (Reconnaissance): Sebelum menyebarkan muatan utama, penginstal MSI melakukan pengintaian dengan memeriksa status admin, mendeteksi mesin virtual (VM), memverifikasi koneksi internet, dan menanyakan registry untuk mencari produk antivirus yang terinstal (menargetkan Malwarebytes, Kaspersky, McAfee, dan ESET).
• Eksekusi Skrip Pembunuh: Produk keamanan tersebut kemudian dilumpuhkan menggunakan skrip PowerShell bernama ClockRemoval.ps1. Skrip ini juga memastikan bahwa produk keamanan tidak dapat diinstal ulang atau diperbarui dengan cara memblokir domain vendor antivirus. Mereka memodifikasi fail hosts sistem dan melakukan null-routing (mengarahkan rute koneksi domain AV ke 0.0.0.0).

Skrip ClockRemoval.ps1 ini sangat persisten. Ia mengeksekusi rutinitas setiap kali sistem dinyalakan (boot), saat logon, dan setiap 30 menit sekali untuk memastikan antivirus benar-benar mati dengan cara menghentikan layanan, mematikan proses, dan menghapus direktori instalasi.

Kelalaian Fatal Operator dan Skala Infeksi

Di tengah kecanggihan serangan ini, operator membuat satu kesalahan operasional (opsec) yang sangat fatal: mereka lupa mendaftarkan domain pembaruan utama (chromsterabrowser[.]com) maupun domain cadangannya.

Kesalahan ini memberi peluang emas bagi tim Huntress untuk mendaftarkan domain tersebut dan melakukan sinkhole (mengalihkan lalu lintas jahat ke server yang dikendalikan peneliti). Dari pantauan sinkhole ini, Huntress melihat puluhan ribu perangkat yang terkompromi meminta instruksi pembaruan. Berdasarkan alamat IP, peneliti mengidentifikasi 324 host yang terinfeksi di jaringan bernilai tinggi, yang meliputi:

• 221 institusi akademik di Amerika Utara, Eropa, dan Asia.
• 41 jaringan Teknologi Operasional (OT) di sektor energi, transportasi, dan penyedia infrastruktur kritis.
• 35 pemerintah kota, lembaga negara, dan utilitas publik.
• 24 institusi pendidikan dasar dan menengah.
• 3 organisasi perawatan kesehatan (sistem rumah sakit) dan jaringan berbagai perusahaan Fortune 500.

Huntress memperingatkan bahwa meskipun alat ini saat ini “hanya” menggunakan pembunuh AV, mekanisme untuk menyebarkan muatan yang jauh lebih mematikan (seperti ransomware atau wiper) sudah terpasang dan dapat dimanfaatkan kapan saja. Terlebih lagi, karena domain pembaruan utama awalnya tidak terdaftar, peretas lain bisa saja mengklaimnya lebih dulu dan mendorong muatan jahat ke ribuan mesin yang sudah tidak memiliki pelindungan antivirus ini.

Rekomendasi Mitigasi

Bagi administrator sistem, sangat disarankan untuk segera melakukan langkah mitigasi berikut:

1. Cari langganan peristiwa WMI (WMI event subscriptions) yang mengandung kata MbRemoval atau MbSetup.
2. Periksa tugas terjadwal (scheduled tasks) yang merujuk pada WMILoad atau ClockRemoval.
3. Pindai proses yang ditandatangani oleh Dragon Boss Solutions LLC.
4. Tinjau fail hosts pada sistem Windows untuk mencari entri yang memblokir domain vendor antivirus.
5. Periksa pengecualian (exclusions) Microsoft Defender untuk jalur mencurigakan seperti DGoogle, EMicrosoft, atau DDapps.