Ketahanan keamanan siber diuji dengan cara baru yang semakin canggih digunakan oleh para penjahat. Salah satunya adalah malware palsu yang mengaku sebagai pembaruan browser Chrome. Malware ini ternyata merupakan trojan akses jarak jauh (RAT) yang dapat mengambil alih komputer pengguna. Malware ini telah ada selama beberapa tahun dan masih aktif hingga saat ini.
Para pakar keamanan baru-baru ini memperhatikan adanya versi baru malware ini yang disebut “FakeUpdateRU”. Malware ini merupakan malware baru yang dibuat oleh kelompok hacker yang berbeda dari sebelumnya. Mereka mencoba memanfaatkan permintaan tinggi terhadap ransomware.
Banyak kelompok hacker lain yang serupa juga muncul belakangan ini. Untuk mengatasi hal ini, Google telah mengambil tindakan dengan memblokir sebagian besar situs web yang menyebarkan malware ini. Jika pengguna mencoba mengunjungi situs web yang terinfeksi, mereka akan melihat peringatan dari Google.
Malware ini menggunakan halaman palsu pembaruan Chrome yang mirip dengan halaman aslinya. Namun, terdapat beberapa perbedaan seperti kata-kata yang telah diubah untuk memperdaya pengguna agar mengira mereka perlu memperbarui browser mereka.
Bahaya sebenarnya terletak pada kode JavaScript di bagian bawah halaman palsu, yang akan mengunduh malware ketika pengguna mengklik tombol “Perbarui”. Malware ini termasuk dalam keluarga malware Zgrat dan Redline Stealer yang terkenal dengan serangan ransomware.
Kode JavaScript tersebut menggunakan domain bertema Chrome untuk mendapatkan URL unduhan akhir, biasanya di situs web yang dijahili oleh para hacker. Malware ini bisa ditemukan di berbagai situs web yang terinfeksi. Para hacker menggunakan banyak domain dengan nama serupa untuk mengarahkan pengguna ke file ZIP malware.
Google telah memblokir domain yang mengarahkan pengguna, sehingga para hacker kemudian menautkan langsung ke unduhan di situs web lain yang juga telah mereka hack. Ini berarti mereka harus menginfeksi ulang semua situs web tersebut alih-alih mengubah satu file pada server mereka.
Beberapa versi baru malware ini telah menghapus sebagian besar kata-kata Rusia dari halaman palsu pembaruan, menunjukkan bahwa para hacker mengubah taktik mereka. Yang lebih mengkhawatirkan adalah adanya situs web yang terinfeksi memiliki kode JavaScript yang berkomunikasi dengan saluran Telegram. Para hacker mungkin menggunakan ini untuk menerima pemberitahuan saat seseorang mengunduh malware mereka.
Untuk menghindari malware palsu ini, para ahli merekomendasikan untuk selalu memperbarui plugin dan tema, menjadikan situs WordPress lebih aman, melakukan pencadangan data secara teratur, dan menggunakan firewall. Jika situs web sudah terinfeksi, maka penting untuk segera bertindak dan mendapatkan bantuan dari ahli keamanan untuk menghilangkan infeksi dan melindungi situs tersebut.
