Ketahanan keamanan siber saat ini diuji oleh cara-cara baru yang semakin canggih yang digunakan oleh para penjahat. Salah satu tantangan terbesar dalam lingkup ini adalah adanya malware palsu yang mengaku sebagai pembaruan browser Chrome yang sebenarnya. Malware ini telah ada selama beberapa tahun dan masih aktif hingga saat ini.

Malware palsu ini sebenarnya adalah jenis trojan akses jarak jauh (RAT) yang sangat berbahaya. Malware ini memiliki kemampuan untuk mengambil alih komputer Anda dengan sangat licik. Ironisnya, seringkali ini adalah langkah pertama yang diambil dalam serangan ransomware yang dapat merampas data berharga Anda dan mengakibatkan hilangnya banyak uang dari rekening Anda.

Sejumlah ahli keamanan siber mulai memperhatikan versi terbaru dari malware ini, yang dikenal sebagai “FakeUpdateRU” dan dipopulerkan oleh Jerome Segura dari MalwareBytes. Malware ini bukanlah varian lama seperti SocGholish, melainkan malware baru yang dirancang oleh kelompok peretas yang berbeda. Mereka berusaha memanfaatkan tingginya permintaan terhadap serangan ransomware.

Tak hanya satu kelompok peretas yang mencoba mengikuti jejak ini. Google telah mengambil langkah-langkah untuk memblokir sejumlah besar situs web yang menyebarkan malware ini. Jika Anda mencoba mengunjungi situs yang terinfeksi, Anda akan menerima peringatan dari Google. Malware ini mengubah file indeks utama (“.php”) dari tema situs web yang dimaksud.

Dalam pembaruan palsu Chrome, seperti yang dilaporkan oleh Cyber Security News, halaman pembaruan palsu tersebut sangat menyerupai yang asli. Salah satu perbedaannya yang mencolok adalah bahwa file malware dibuat dari kode HTML yang biasa diambil dari situs web Google versi Inggris.

Hal ini mengindikasikan bahwa para peretas telah menggunakan browser Chrome yang berbasis Chromium untuk membuat malware ini. Namun, yang patut dicatat adalah bahwa meskipun ini adalah malware yang berkaitan dengan Chrome, terdapat beberapa kata dalam bahasa Rusia di dalam file malware tersebut, bahkan bagi pengguna yang sebenarnya tidak menggunakan Chrome.

Para peretas telah melakukan perubahan pada beberapa kata dalam halaman pembaruan palsu ini, misalnya, kata “Unduh” digantikan dengan “Perbarui,” yang bertujuan untuk mengecoh pengguna agar mereka berpikir bahwa mereka perlu memperbarui browser mereka.

Ancaman sesungguhnya terletak pada kode JavaScript yang terdapat di bagian bawah halaman palsu ini, yang akan memicu pengunduhan malware saat pengguna mengklik tombol “Perbarui.” Kode ini menggunakan domain yang terkait dengan Chrome untuk mengarahkan pengguna ke URL unduhan akhir, yang biasanya berada di situs web yang telah diretas.

Malware ini merupakan bagian dari keluarga malware Zgrat dan Redline Stealer yang dikenal karena serangan ransomware.

Teknik Pencegahan dan Tindakan Darurat untuk Keamanan Digital Anda

Halaman palsu pembaruan dan file malware ini ada di situs web yang berbeda yang telah diretas oleh para peretas. Mereka menggunakan sejumlah domain yang memiliki nama yang mirip untuk mengarahkan pengguna ke file malware dalam format ZIP.

Masyarakat dapat melacak situs web mana yang telah terinfeksi dengan mencari skrip khusus yang dikenal sebagai Google Pengelola Tag, yang memberikan gambaran sejauh mana kampanye ini menyebar.

Google telah bertindak untuk memblokir domain yang digunakan untuk mengalihkan pengguna. Oleh karena itu, para peretas mengubah pendekatan mereka dan sekarang mengarahkan pengguna langsung ke unduhan malware di situs web lain yang telah diretas.