Berhati-hatilah Jika anda menemukan pesan error ketika menjelajah sebuah situs dengan google chrome yang meminta anda untuk memperbaharui perangkat google chrome anda tanpa melalui fitur pembaruan otomatis. Sejak November 2022 pemberitahuan ini sudah sudah berlangsung dan banyak dikampanyekan. Dan menurut Rintaro Koike seorang analist keamanan dari NTT Japan. Penyebaran kasus ini sudah memperluas cakupan target korbannya untuk pengguna chrome yang berbahasa Jepang, Korea dan Spanyol.
Serangan dilakukan dengan mengkompromikan situs untuk meng-Injack kode javascript berbahaya yang akan mengeksekusi sebuah script ketika pengguna mengunjunginya. Script ini bertugas untuk mengunduh script tambahan lainnya ketika sistem mendeteksi bahwa penggunjung adalah target pengguna.
Script berbahaya ini dikirimkan melalui Pinata IPFS (InterPlanetary File System) service yang dapat mengaburkan server asli tempat file itu dihosting. Ini membuat blocklisting tidak berjalan dengan efektif.
Ketika target mempuka halaman situs yang terinfeksi, script akan menampilkan sebuah halaman Error palsu yang menyebutkan bahwa Google Chrome anda gagal menyelesaikan pembaruan otmatisnya.
"An error occurred in Chrome automatic update. Please install the update package manually later, or wait for the next automatic update,"
dan setelah itu script akan mengunduh secara otimatis sebuah file ZIP dengan nama “release.zip” yang disamarkan sebagai file pembaruan chrome yang dapat di install secara manual oleh pengguna.
Namun sebenarnya file ZIP ini berisi sebuah script penambang kripto Monero yang akan menggunakan resource CPU perangkat korban untuk menambang matauang kripto untuk pelaku. Malware yang dibawa menggunakan tehnik "BYOVD" (bring your own vulnerable driver) untuk mengeksploitasi kerentanan di file system yang sah untuk mendapatkan hak akses instimewa pada perangkat. Penambah juga telah menambahkan scheduler tash serta memodifikasi file registri sehingga dapat meloloskan diri dari Windows Defender.
Setelah melakukan semua itu penambang akan terhubung dan mulai untuk menambang Criptocurrency Monero (XMR) yang sulit dilacak.
BleepingComputer telah menemukan banyak situs yang diretas dalam pendistribusian malware ini, termasuk situs dewasa, blog, situs berita dan toko online.
Jadi berhati-hatilah dan jangan pernak melakukan pembaruan perangkat lunak anda dari pihak ke-3, selalu perbarui perangkat melalui penbaruan otomatis yang terdapat pada sistem atau situs resmi yang ditunjuk oleh pengenbang,
