Waspadai malware penambang cryptocurrency

JAKARTA (IndoTelko) - Penjahat siber sedang agresif mengunggah malware penambang uang virtual (cryptocurrency) ke GitHub dangan cara menyalin proyek orang lain sebagai landasan untuk proyek mereka sendiri, yang di GitHub disebut forking.

Penjahat siber kemudian memasukan malware ke dalam proyek yang mereka buat. Proyek yang disalin dipilih secara acak.

Malware yang diunggah menyimpan berkas-berkas executable jahat di dalam struktur direktori proyek yang disalin.

Pengunjung internet kemudian ditipu untuk mengunduh malware melalui iklan pengelabu (phising) yang ditampilkan di game online dan situs dewasa. Iklannya memperingatkan pengguna bahwa Flash Player komputer mereka sudah kedaluwarsa. Trik lainnya adalah menawarkan game online dewasa.

Selain menambang mata uang virtual, malware juga menginstal ekstensi jahat pada Chrome untuk memasukkan iklan palsu dan mengeklik iklan dari latar belakang demi menambah tebal pundi-pundi si penjahat siber.

Dalam pantauan Avast, GitHub bukan satu-satunya situs web di mana berkas-berkas jahat executable menyebarkan diri. Berkas jahat tersebut bisa saja tersimpan dalam iklan phising. Sesaat setelah iklan diklik, berkas akan menyusup.

Kemudian, mereka beralih ke repositori GitHub dimana malware tersimpan dan dimana berkas executable pertama-tama dimuat.

Selain iklan phising, Avast juga menemukan sebuah situs web dewasa yang menyebarkan malware sejenis dengan cara menawarkan permainan sex online.

Di dalam malware, ada sebuah program penambang Monero yang memiliki beberapa fungsi jahat lain, seperti mematikan proses di Opera, Chrome, and Amigo Free Browser. Kami belum tahu mengapa Opera dan Amigo Free Browser ikut ditarget. Mungkin ini merupakan sebuah bug, tapi bisa jadi penjahatnya memiliki rencana untuk membuat versi yang menyerang browser tersebut.

Sejumlah hal dilakukan untuk menghindari deteksi pengguna. Malware diatur agar ia menggunakan maksimal 50% kapasitas pemrosesan CPU agar komputernya tidak bekerja terlalu lambat. Kemudian, fitur cpu-priority memberikan proses lain yang membutuhkan lebih banyak kapasitas CPU prioritas yang lebih tinggi daripada malware. Cara ini memungkinkan pengguna menggunakan komputer mereka seperti biasa dan malware bisa bekerja tanpa menimbulkan kecurigaan. Trik lainnya yang umum digunakan malware penambang dan diaplikasikan pula oleh malware ini agar ia tidak ketahuan adalah penambang uang virtual akan berhenti bekerja setiap kali Task Manager diaktifkan.

Malware juga menginstal ekstensi yang berbahaya ke browser Chrome, dari sini keadaan menjadi menarik. Malware memanfaatkan versi lama dari ekstensi AdBlock, yang oleh Chrome digadang sebagai ‘the real deal’.

Seperti disebutkan sebelumnya, malware dapat menghentikan semua proses di Chrome. Bahkan jika pengguna mengunjungi halaman ekstensi Chrome, alih-alih melihat daftar ekstensi yang terpasang, mereka akan melihat halaman ekstensi yang memperlihatkan ekstensi jahatnya selama sepersekian detik sebelum laman diarahkan ke laman lain untuk mencegah pengguna menghapus ekstensi jahat tersebut.

Penjahat siber cukup pintar dengan menandatangani malware penambang secara digital sebagai program yang bisa dialankan (executable).  

Penjahat di balik malware tersebut mungkin berasal dari Rusia, atau berharap korbannya orang Rusia.

Petunjuk pertama yang mengindikasikan bawa penjahat di balik malware tersebut menyasar orang Rusia adalah bahwa fungsi "SetThreadLocale" dipanggil dengan argumen Lokal ditetapkan 1.049, yang merupakan kode untuk lokasi Rusia.

Hosting malware di GitHub merupakan sesuatu yang tidak biasa, tapi harus diakui beberapa manfaatnya. Malware di-host secara gratis, pada platform yang andal dan bandwidth yang tidak terbatas. Sejarah versi yang tersedia bagi periset malware seperti kita untuk melihat dan, di atas semua itu, kami bisa melihat malware bekerja secara real-time. Terima kasih banyak!

Malware masih aktif di GitHub. GitHub telah menghapus banyak proyek hasil salinan yang meng-hosting malware, namun penjahat siber sangat bertekad dan terus mengunggah malware di GitHub. Avast sedang bekerja sama dengan GitHub untuk menginformasikan repositori yang mengandung malware, yang kemudian dihapus oleh GitHub.

Sedangkan untuk ekstensi Chrome yang berbahaya, Avast telah menghubungi Google untuk memberi tahu mereka tentang ekstensi tersebut. Pada saat posting ini dipublikasikan, Google belum memblokir ekstensi jahatnya. Pengguna yang terinfeksi dapat mencopot pemasangan Chrome dan pilih “delete browser data” untuk menghapus ekstensi berbahaya tersebut.(pg)