Waspada Iklan Google Palsu Berisi Malware, Modus Baru Peretasan Malvertising

Berbicara tentang keamanan siber, kini makin banyak motif penipuan maupun penyerangan digital, salah satunya melalui pembaruan Chrome palsu. Pembaruan palsu ini telah beredar sejak lama, dan akan menyerang pengguna dengan menginstal malware di perangkatnya.

Malware ini berpura-pura sebagai pembaruan peramban Chrome asli, tetapi sebenarnya merupakan trojan akses jarak jauh (RAT) yang dapat mengambil alih komputer kamu.

Biasanya, malware ini merupakan awal dari serangan ransomware yang dapat menguras uang dan data kamu tanpa kamu sadari.

Dilansir Cyber Security, Rabu (1/11/2023), para pakar keamanan telah melihat versi baru dari malware ini, yang disebut "FakeUpdateRU" oleh Jerome Segura dari MalwareBytes.

Baru-baru ini, banyak kelompok pencipta malware seperti ini muncul. Untuk mengatasinya, Google telah bertindak cepat dan memblokir sebagian besar situs web yang menyebarkan malware ini.

Penampilan halaman pembaruan Chrome palsu terlihat sangat mirip dengan yang asli. Satu hal yang menonjol adalah file malware terbuat dari kode HTML biasa yang diambil dari situs web Google versi bahasa Inggris.

Hal ini menunjukkan bahwa peretas menggunakan peramban Chrome (berbasis Chromium) untuk membuat malware. Tetapi hal ini juga menyebabkan beberapa kata dalam bahasa Rusia muncul dalam file, bahkan bagi pengguna yang tidak menggunakan Chrome.

Para peretas mengubah beberapa kata pada halaman pembaruan Chrome palsu, seperti "Unduh" menjadi "Perbarui", untuk mengelabui pengguna agar berpikir bahwa mereka perlu memperbarui peramban mereka.

Bahaya yang sebenarnya dari pembaruan palsu ini terletak pada kode JavaScript di bagian bawah halaman, yang memulai pengunduhan malware ketika pengguna mengklik tombol "Perbarui".

Kode ini menggunakan domain bertema Chrome untuk mendapatkan URL unduhan akhir. Contoh seperti ini banyak ditemukan di situs web lain yang telah diretas.

Selain itu, malware ini juga termasuk dalam keluarga malware Zgrat dan Redline Stealer yang dikenal dengan serangan ransomware.

Para peretas juga menggunakan banyak domain dengan nama yang mirip untuk mengirim pengguna ke file .ZIP malware, dan langsung mendaftarkannya.

Kamu dapat mengetahui situs web mana yang terinfeksi malware dengan mencari skrip khusus Google Tag Manager.

Untuk menghindari malware pembaruan Chrome palsu ini, para ahli menyarankan untuk memperbarui plugin dan tema, membuat situs web WordPress lebih aman dan kuat, dan mencadangkan data secara teratur.

Menggunakan firewall juga dapat menghentikan peretasan. Jika sebuah situs web mungkin terinfeksi, penting untuk bertindak cepat, dan ada pakar keamanan terampil yang dapat membantu menghapus infeksi dan melindungi situs.

Menanggapi hal ini, Google bertindak cepat dalam memblokir domain yang mengarahkan pengguna ke domain lain. Sehingga para peretas telah mengubah metode mereka dan sekarang menautkan langsung ke unduhan di situs web yang diretas.

Ini berarti mereka harus menginfeksi semua situs web tersebut lagi daripada mengubah satu file di server mereka.

Beberapa versi baru dari malware telah menghapus sebagian besar kata-kata Rusia dari halaman pembaruan palsu, yang berarti para peretas mengubah taktik mereka.

Hal yang mengkhawatirkan adalah beberapa situs web yang terinfeksi memiliki kode JavaScript yang terhubung ke saluran Telegram sementara.

"Para peretas mungkin menggunakan ini untuk mendapatkan pemberitahuan ketika seseorang mengunduh malware mereka. Enkripsi Telegram dan fitur-fitur lainnya menjadikannya alat yang baik untuk peretas," demikian menurut laporan Sucuri.