Waspada Update Google Chrome Palsu, Hati-Hati Sebelum Instal

Jakarta, CNBC Indonesia - Hacker menyusup ke situs web untuk menyuntikkan kode yang menampilkan kesalahan pembaruan otomatis Google Chrome palsu. "Suntikan" tersebut mendistribusikan malware ke pengunjung yang tidak sadar mengklik website tersebut.

Hacker sudah beraksi sejak November 2022, dan menurut analis keamanan NTT Rintaro Koike, cara tersebut berubah setelah Februari 2023. Mereka memperluas cakupan penargetan untuk mencakup pengguna yang berbicara bahasa Jepang, Korea, dan Spanyol.

BleepingComputer telah menemukan banyak situs yang diretas dalam kampanye distribusi malware ini, termasuk situs dewasa, blog, situs berita, dan toko online.

Serangan dimulai dengan mengkompromikan situs web untuk menyuntikkan kode JavaScript berbahaya yang mengeksekusi skrip saat pengguna mengunjung website. Kode ini akan mengunduh skrip tambahan berdasarkan apakah pengunjung adalah audiens yang ditargetkan.

Kode berbahaya ini dikirim melalui layanan Pinata IPFS (InterPlanetary File System) dengan menyamarkan server asal yang menghosting file, membuat daftar blokir tidak efektif dan menolak penghapusan.

Jika pengunjung yang ditargetkan mulai menjelajahi situs, kode akan menampilkan pemberitahuan Google Chrome eror palsu. Jika sudah, akan muncul pernyataan pembaruan otomatis yang diperlukan untuk melanjutkan penjelajahan situs yang gagal terpasang.

"Terjadi kesalahan pada pembaruan otomatis Chrome. Silakan instal paket pembaruan secara manual nanti, atau tunggu pembaruan otomatis berikutnya," bunyi pesan eror Chrome palsu.

Melansir dari BleepingComputer, Kamis (13/4/2023), kode kemudian akan secara otomatis mengunduh file ZIP 'release.zip' yang disamarkan sebagai pembaruan Chrome yang harus dipasang pengguna.

Namun, file ZIP berisi penambang Monero yang akan memanfaatkan sumber daya CPU perangkat untuk menambang mata uang kripto untuk para pelaku ancaman.

Saat diluncurkan, malware menyalin dirinya ke C:Program FilesGoogleChrome sebagai "updater.exe" dan kemudian meluncurkan executable yang sah untuk melakukan injeksi proses dan dijalankan langsung dari memori.

Menurut VirusTotal, malware menggunakan teknik "BYOVD" untuk mengeksploitasi kerentanan di WinRing0x64.sys yang sah untuk mendapatkan hak istimewa SISTEM pada perangkat.

Penambang bertahan dengan menambahkan tugas terjadwal dan melakukan modifikasi Registri sambil mengecualikan diri dari Windows Defender.

Selain itu, ini menghentikan Pembaruan Windows dan mengganggu komunikasi produk keamanan dengan server dengan mengubah alamat IP yang terakhir di file HOSTS. Ini menghalangi pembaruan dan deteksi ancaman dan bahkan dapat menonaktifkan AV sama sekali.

Setelah semua langkah, penambang terhubung ke xmr.2miners[.]com dan mulai menambang cryptocurrency Monero (XMR) yang sulit dilacak.

Sementara beberapa situs web yang telah dirusak berbahasa Jepang. Namun NTT memperingatkan bahwa penyertaan bahasa tambahan baru-baru ini dapat mengindikasikan bahwa pelaku ancaman berencana untuk memperluas cakupan penargetan mereka sehingga dampak kampanye ini akan menjadi lebih besar.

Jadi perlu diingat, jangan pernah menginstal pembaruan keamanan untuk perangkat lunak yang diinstal di situs pihak ketiga, dan hanya instal dari pengembang perangkat lunak atau melalui pembaruan otomatis yang disertakan dalam program.