LegionLoader, malware downloader yang pertama kali muncul pada 2019, kini berkembang dengan menginstal ekstensi Chrome berbahaya yang dapat mengubah konten email dan memantau aktivitas penjelajahan pengguna.
Ekstensi ini, termasuk implementasi CursedChrome, mampu mengubah browser korban menjadi proxy HTTP, memungkinkan penyerang menjelajah web dengan autentikasi korban. Selain itu, ekstensi ini dapat mengambil tangkapan layar tab aktif dan mengelola permintaan untuk mengakses serta memperbarui saldo akun Facebook, Coinbase, dan Google Pay, bahkan melakukan penarikan dana kripto.
Sejak Agustus 2024, LegionLoader terdeteksi menyebarkan stealer seperti LummaC2, Rhadamanthys, dan StealC melalui unduhan drive-by, di mana pengguna diarahkan ke situs dengan installer palsu yang mengunduh payload dari layanan seperti MEGA. Analisis terbaru menunjukkan bahwa LegionLoader menggunakan teknik side-loading dengan file DLL berbahaya yang disembunyikan dalam arsip ZIP terenkripsi, diekstraksi menggunakan kata sandi yang diperoleh dari server kendali.
Teknik ini mencakup dekripsi berlapis menggunakan algoritma RC4 dan XTEA untuk menyembunyikan payload inti, menunjukkan kompleksitas dan kemampuan adaptasi malware ini dalam lanskap ancaman siber saat ini.
Sumber:
https://trac-labs.com/advancing
-through-the-cyberfront-
legionloader-commander-
6af38ebe39d4
Ekstensi ini, termasuk implementasi CursedChrome, mampu mengubah browser korban menjadi proxy HTTP, memungkinkan penyerang menjelajah web dengan autentikasi korban. Selain itu, ekstensi ini dapat mengambil tangkapan layar tab aktif dan mengelola permintaan untuk mengakses serta memperbarui saldo akun Facebook, Coinbase, dan Google Pay, bahkan melakukan penarikan dana kripto.
Sejak Agustus 2024, LegionLoader terdeteksi menyebarkan stealer seperti LummaC2, Rhadamanthys, dan StealC melalui unduhan drive-by, di mana pengguna diarahkan ke situs dengan installer palsu yang mengunduh payload dari layanan seperti MEGA. Analisis terbaru menunjukkan bahwa LegionLoader menggunakan teknik side-loading dengan file DLL berbahaya yang disembunyikan dalam arsip ZIP terenkripsi, diekstraksi menggunakan kata sandi yang diperoleh dari server kendali.
Teknik ini mencakup dekripsi berlapis menggunakan algoritma RC4 dan XTEA untuk menyembunyikan payload inti, menunjukkan kompleksitas dan kemampuan adaptasi malware ini dalam lanskap ancaman siber saat ini.
Sumber:
https://trac-labs.com/advancing
-through-the-cyberfront-
legionloader-commander-
6af38ebe39d4