Malware Penambang Monero Menyebar Dibalik Pembaruan Google Chrome
Akhir-akhir ini terdeteksi terdapat temuan gelombang malware yang menyebar dari situs web yang disamarkan sebagai pembaruan Google Chrome palsu.
Dilansir dari Cyberthreat.id, beberapa peneliti telah memantau aktivitas sejak November 2022, tetapi serangan menjadi semakin aktif pada Februari 2023. Serangan ini meluas dan diduga asal serangan itu adalah situs web resmi yang diretas. Situs web asli diretas dan kode JavaScript berbahaya ditambahkan ke dalamnya. Skrip ini berisi skrip tambahan yang menyesuaikan target pengunjung. Skrip dikirim melalui layanan cloud Pinata IPFS (InterPlanetary File System) dan menyamarkan server asli yang menghosting file berbahaya. Pinata Cloud IPFS (InterPlanetary File System) adalah layanan berbasis web yang memungkinkan pengguna menghosting file di jaringan IPFS (jaringan terdistribusi dan terdesentralisasi untuk hosting, mengakses dan berbagi file, situs web, aplikasi, dan data).
Baca Juga : Ditemukan Celah Jaringan WiFi, Peretas Bisa Hack Perangkat Tersambung
Saat pengunjung menjelajahi situs web yang diretas, skrip akan menampilkan pesan kesalahan Google Chrome di layar. salah eja:
“Terjadi kesalahan dengan pembaruan otomatis Chrome. Instal paket pembaruan secara manual atau tunggu pembaruan otomatis berikutnya. Pesan itu merupakan pesan palsu.
Selama penelitian berlangsung, ditemukan pesan kesalahan ini terdapat dalam berbagai bahasa tergantung pada situs web yang diretas. Ada bahasa Jepang, bahasa Spanyol dan Korea dan banyak lainnya
Di belakang layar, skrip secara otomatis mengunduh file ZIP yang disamarkan sebagai pembaruan Chrome yang harus dipasang pengguna. File ZIP memiliki nama file yang dimulai dengan chromium-patch-nightly dan berpura-pura menjadi pembaruan Chrome. File ZIP yang diunduh ternyata adalah malware penambangan cryptocurrency Monero.
Peretas menginfeksi perangkat korban untuk bertindak sebagai sumber daya penambangan kripto.
Saat file di instal, malware menyalin dirinya sendiri ke
C:\Programs\Google\Chrome dengan nama file “updater.exe”.
Selain fitur-fitur tersebut, malware juga memiliki fitur-fitur untuk menambahkan tugas terjadwal dan mengedit registry, mengunci Windows Defender, menghentikan layanan yang terkait dengan pembaruan Windows, dan memutuskan komunikasi alat keamanan dengan server dengan mengubah alamat IP di file HOSTS. Ini akan mencegah pembaruan dan perlindungan terdeteksi, dan bahkan dapat menonaktifkan antivirus Anda sama sekali. Setelah dijalankan di perangkat korban, malware berkomunikasi dengan server “xmr.2miners[.]com” dan menambang cryptocurrency Monero (XMR).
Baca Juga : Karena Kecerobohan Karyawan, Data Rahasia Samsung Bocor ke ChatGPT
Serangan ini membutuhkan eksekusi pengguna. Namun, peretas menggunakan teknik phishing untuk mengelabui pengguna agar mengikuti petunjuk untuk memasang file pembaruan Chrome palsu. Target utama di sini adalah emosi para pengguna. Saat Anda mendapatkan pesan seperti itu, pengguna tanpa sadar dipaksa untuk menginstal. Karena itu, selalu pastikan untuk memperbarui perangkat lunak dari sumber resmi dan legal.
Dalam menghadapi ancaman malware yang semakin canggih dan kompleks, para pengguna perlu lebih waspada dan hati-hati dalam mengakses situs web dan memperbarui perangkat lunak. Serangan ini menunjukkan betapa mudahnya peretas mengecoh pengguna dengan pesan palsu dan mengelabui mereka agar menginstal file yang sebenarnya berisi malware. Oleh karena itu, sebagai pengguna yang cerdas dan bertanggung jawab, kita perlu selalu memverifikasi sumber perangkat lunak dan memperbarui dari sumber resmi yang terpercaya. Kita juga perlu terus meningkatkan pengetahuan dan kesadaran tentang praktik keamanan siber yang baik agar dapat melindungi diri kita sendiri dan perangkat kita dari ancaman siber yang semakin meningkat.
