Hola Browser Windows Disusupi Penambang Kripto

Hola Browser Windows Disusupi Penambang Kripto – Kali ini, versi Windows dari Hola Browser dikonfirmasi telah disusupi oleh pihak ketiga untuk mengirimkan file eksekusi tersembunyi.

Berdasarkan hasil investigasi mendalam, file asing yang tidak dideklarasikan tersebut diidentifikasi sebagai program penambang mata uang kripto (cryptocurrency miner).

Kompromi keamanan ini pertama kali terbongkar secara tidak sengaja sewaktu dilaksanakannya pemeriksaan sertifikasi berkala pada Hola Browser.

Sebagai bagian dari prosedur pengujian sertifikasi AppEsteem, sebuah pengujian standar yang sebenarnya selalu berhasil dilewati oleh Hola Browser pada periode-periode sebelumnya.

Hola sendiri merupakan perusahaan teknologi asal Israel yang paling dikenal lewat produk Hola VPN. Layanan tersebut memungkinkan pengguna untuk mengalirkan lalu lintas internet mereka melewati perangkat pengguna lain.

Atau melalui infrastruktur proksi berbayar demi melewati pembatasan geografis dan mengakses konten dari berbagai belahan dunia.

Hola Browser dibangun menggunakan basis kode Chromium dan mengintegrasikan fungsi VPN serta proksi tersebut secara langsung ke dalam peramban.

Penemuan Berkas Misterius

Dalam pemeriksaan integritas aplikasi terbaru yang dilakukan oleh beberapa perusahaan keamanan siber yang terlibat dalam proses evaluasi sertifikasi.

Ditemukan adanya keganjilan berupa instalasi file eksekusi asing bernama me.exe. File ini tertanam secara senyap di dalam direktori sistem C:\Program Files\Hola\.

Temuan ini langsung memicu alarm bahaya karena file tersebut memiliki karakteristik khas dari sebuah perangkat lunak berbahaya (malware):

• File dikirimkan tanpa adanya deklarasi resmi dan tidak memiliki catatan waktu pembuatan (timestamp) yang valid.
• Komponen biner tersebut tidak dibekali tanda tangan digital (digital signature) dari pihak Hola selaku pengembang.
• Struktur kode di dalamnya sengaja dibuat kabur dan rumit guna menghindari deteksi dini oleh sistem pemindai antivirus konvensional.
• File memiliki kapabilitas teknis untuk menulis data langsung ke dalam memori sistem komputer secara ilegal.

Ketika diteliti lebih lanjut, para peneliti keamanan siber menemukan bukti-bukti kuat berupa deretan teks (strings) internal di dalam kode biner yang merujuk pada aktivitas penambangan aset kripto Monero secara ilegal (cryptojacking).

Manipulasi Defender hingga Layanan Auto-Start

Alur kerja dari malware penambang kripto ini dirancang dengan taktik persistensi yang matang agar dapat mengeruk daya komputasi komputer korban dalam jangka panjang tanpa memicu kecurigaan.

Alur kerja manipulasi sistem tersebut berjalan melalui tahapan-tahapan berikut:

1. Mematikan Deteksi Antivirus

Sesaat setelah aktif, program penambang kripto ini secara otomatis menambahkan aturan pengecekan baru (exclusion rule) pada Windows Defender.

Tindakan ini secara efektif melarang antivirus bawaan Windows tersebut untuk memindai folder operasional milik peretas.

2. Kamuflase Nama Berkas

Guna menyamarkan keberadaannya dari pantauan manajer tugas (Task Manager), berkas me.exe menyalin dirinya sendiri ke folder Program Files menggunakan nama tiruan yang sekilas terlihat seperti layanan latar belakang resmi, yaitu HolaMonitorService.exe.

3. Pembangunan Akses Persisten

Malware kemudian mendaftarkan diri ke dalam sistem sebagai layanan Windows yang otomatis berjalan saat komputer dinyalakan (auto-starting Windows service) dengan nama kode hola_monitor_svc.

4. Eksekusi Senyap Berbasis Idle

Penambang Monero ini diprogram untuk hanya memeras tenaga prosesor (CPU) dan kartu grafis (GPU) komputer saat perangkat berada dalam kondisi tidak digunakan oleh pemiliknya (idle).

Strategi ini sengaja diterapkan agar pengguna tidak merasakan adanya penurunan performa atau kelambatan sistem yang mencolok saat mereka sedang aktif bekerja di depan layar.

Tanggapan Resmi Hola 

Setelah mendapatkan laporan resmi mengenai temuan berbahaya tersebut dari pihak AppEsteem, manajemen Hola mengonfirmasi.

Bahwa infrastruktur mereka memang telah menjadi korban serangan rantai pasok siber. Pengondisian insiden ini juga dideteksi secara independen oleh perusahaan keamanan siber Sygnia.

Meskipun mengakui adanya kebocoran pertahanan pada rantai pasoknya, pihak Hola menyatakan bahwa dampak serangan ini terhitung sangat kecil, di mana hanya sekitar 0,1% dari total basis pengguna mereka yang terdampak.

Perusahaan juga menegaskan tidak menemukan adanya bukti-bukti yang menunjukkan terjadinya akses ilegal, pencurian, ataupun kompromi terhadap data pribadi milik para pengguna browser.

Hingga saat ini, belum ada rincian kronologis lebih lanjut mengenai bagaimana peretas berhasil menjebol server internal Hola, siapa dalang di balik serangan ini.

Serta apakah pengguna Hola Browser di platform lain (seperti seluler atau ekstensi peramban) ikut terpapar oleh risiko infeksi yang sama.

Rekam Jejak Kontroversi dan Risiko 

Sebagai bahan referensi pembanding untuk memperkaya analisis makro, para peneliti keamanan siber mengingatkan bahwa ini bukan kali pertama Hola dan produk-produk turunannya menuai sorotan negatif dari komunitas keamanan digital.

Beberapa tahun lalu, perusahaan ini sempat memicu kontroversi besar terkait operasional layanan komersial bernama Luminati Networks.

Dalam skema tersebut, pengguna yang memanfaatkan layanan Hola VPN versi gratis secara tidak sadar diubah statusnya menjadi titik proksi (peer-to-peer proxy node) bagi lalu lintas data berbayar milik pelanggan komersial Luminati.

Praktik penanganan lalu lintas data yang tidak transparan ini dinilai para peneliti menciptakan area serangan yang secara inheren lebih rawan disusupi.

Sebab, ketika peramban dirancang untuk saling berbagi jalur koneksi internet antar-perangkat pengguna, kontrol perimeter keamanannya menjadi jauh lebih kompleks.

Dibandingkan peramban internet standar, membuat integrasi komponen SDK pihak ketiga menjadi titik rawan yang sangat diincar oleh sindikat serangan rantai pasok global.

Panduan Mitigasi

Mengingat taktik serangan supply chain mampu menunggangi pembaruan resmi aplikasi yang sah, pengguna tidak bisa hanya mengandalkan kepercayaan pada nama besar vendor.

Guna mengamankan sistem operasi Windows Anda dari infeksi penambang kripto tersembunyi seperti yang terjadi pada kasus Hola Browser, berikut adalah langkah pertahanan taktis yang direkomendasikan:

1. Audit Folder Program Files.

Periksa secara berkala direktori C:\Program Files\Hola\ pada komputer Anda. Jika Anda menemukan keberadaan file me.exe atau mendeteksi adanya layanan berjalan bernama hola_monitor_svc di dalam menu pengaturan Windows Services, segera hentikan proses tersebut secara paksa.

2. Periksa Daftar Pengecualian Antivirus.

Lakukan peninjauan berkala pada menu pengaturan Windows Defender Anda. Pastikan tidak ada folder aplikasi pihak ketiga yang dimasukkan ke dalam daftar pengecualian pemindaian (Exclusion List) tanpa persetujuan sadar dari Anda selaku administrator sistem.

3. Gunakan Solusi Proteksi Proaktif Berbasis Perilaku dari ESET.

Mengingat file penambang kripto tiruan seperti HolaMonitorService.exe sengaja dirancang tanpa stempel waktu resmi dan kodenya disamarkan untuk mengelabui filter antivirus bawaan, Anda membutuhkan lapisan pertahanan hulu yang jauh lebih sensitif.

Solusi perlindungan siber dari ESET menawarkan ketahanan mutlak dalam menghadapi serangan rantai pasok semacam ini. Teknologi ESET dipersenjatai dengan:

• Sistem pemantauan perilaku memori tingkat lanjut (Advanced Memory Scanner) 
• Modul perlindungan Host-Based Intrusion Prevention System (HIPS).

Ketika file me.exe mencoba memanipulasi registri Windows untuk mendaftarkan layanan auto-start ilegal atau mencoba menggunakan hak istimewa sistem untuk menulis data ke dalam memori, ESET akan langsung:

• Mengidentifikasi aktivitas tersebut sebagai perilaku malware berbahaya.
• Sistem ESET akan segera memblokir eksekusi biner.
• Mengembalikan perubahan registri ke kondisi aman.
• Menghancurkan program penambang kripto Monero tersebut dari komputer Anda sebelum sempat memeras daya perangkat keras dan merusak komponen sistem Anda.

Pengingat Hola Browser

Kasus serangan rantai pasok yang menimpa Hola Browser menjadi pengingat yang sangat berharga bagi ekosistem digital modern, ancaman siber dapat menyusup melalui jalur resmi yang paling kita percayai sekalipun.

Mengubah gawai pengguna menjadi ladang tambang kripto liar melalui manipulasi file latar belakang membuktikan bahwa peretas kian mahir dalam memanfaatkan taktik persembunyian yang senyap.

Kunci utama untuk bertahan di era sekarang adalah dengan:

• Menghentikan kebiasaan mempercayai integritas aplikasi secara buta.
• Dengan melatih kedisiplinan untuk rutin memeriksa kesehatan sistem.
• Membatasi izin akses aplikasi luar,.
• Mempercayakan perlindungan perimeter perangkat pada solusi proteksi proaktif yang kuat,

Barulah setelah itu kita dapat memastikan komputer kita tetap aman berdaulat dari intaian para kriminal siber internasional.

Sumber berita:

WeLiveSecurity