Browser Hola untuk Windows Kebobolan: Serangan Supply-Chain Selundupkan Malware Penambang Kripto Monero

Versi Windows dari aplikasi peramban Hola Browser dilaporkan telah disusupi dalam sebuah serangan rantai pasokan (supply-chain attack). Insiden ini dimanfaatkan oleh aktor intelektual siber untuk meluncurkan file eksekusi gelap yang diidentifikasi oleh para peneliti sebagai program penambang mata uang kripto (cryptocurrency miner).

Celah kompromi ini pertama kali terendus secara tidak sengaja sewaktu proses pemeriksaan sertifikasi berkala pada Hola Browser yang digelar oleh lembaga penguji AppEsteem—sebuah prosedur pengujian integritas aplikasi yang sebetulnya selalu berhasil dilewati oleh Hola dengan status bersih di masa-masa sebelumnya.

Profil Hola: Rekam Jejak Penuh Kontroversi

Hola merupakan perusahaan teknologi asal Israel yang paling dikenal lewat produk Hola VPN, sebuah layanan perutean jaringan internet yang memungkinkan penggunanya memotong pembatasan geografis (geo-blocking). Cara kerjanya adalah dengan menumpangkan lalu lintas internet seorang pengguna ke perangkat pengguna lain, atau melalui infrastruktur proksi berbayar.

Sementara itu, Hola Browser sendiri adalah peramban web berbasis kode sumber Chromium yang mengintegrasikan fungsi VPN dan proksi tersebut secara langsung di dalam aplikasi.

Di masa lalu, Hola dan produk-produknya memang kerap mengundang kontroversi di kalangan komunitas siber akibat praktik penanganan lalu lintas data yang dinilai tidak transparan. Salah satunya adalah operasional layanan komersial bernama Luminati Networks, yang secara sepihak mengubah perangkat pengguna gratisan menjadi titik proksi (exit nodes) bagi pelanggan berbayar.

Karakteristik Teknis Malware: Menyamar Sebagai ‘me.exe’

Dalam pengujian integritas aplikasi terbaru ini, firma keamanan siber Sophos bersama sejumlah perusahaan keamanan lain mendeteksi adanya file eksekusi liar mencurigakan bernama ‘me.exe’ yang terinstal di dalam direktori penyimpanan sistem C:\Program Files\Hola\.

Hasil pembedahan forensik digital pada file biner tersebut menunjukkan sejumlah indikasi bahaya:

• Berkas tidak terdaftar dalam sertifikasi resmi Hola.
• Tidak memiliki stempel waktu pembuatan (no timestamp).
• Tidak dilengkapi tanda tangan digital (not digitally signed).
• Seluruh baris kode di dalamnya telah disamarkan (obfuscated code) dan memiliki kemampuan untuk menulis langsung ke memori sistem (write to memory).

Program Penambang Kripto Monero Rahim

Setelah diteliti lebih dalam, Sophos menemukan rangkaian string kode yang mengonfirmasi bahwa file biner misterius tersebut adalah sebuah program penambang kripto Monero (XMR).

Untuk mempertahankan posisinya di dalam sistem operasi komputer korban (persistence), malware penambang kripto ini menjalankan serangkaian rutinitas otomatis:

1. Manipulasi Antivirus: Secara sepihak menambahkan aturan pengecualian pemindaian (exclusion rule) pada Windows Defender agar file tersebut tidak diblokir.
2. Duplikasi File: Menyalin dirinya sendiri ke folder Program Files utama dengan menyamar menggunakan nama baru ‘HolaMonitorService.exe’.
3. Layanan Otomatis: Membuat struktur layanan sistem Windows baru yang otomatis berjalan saat menyalakan PC (auto-starting service) dengan nama ‘hola_monitor_svc’.
4. Mencuri Daya: Program penambang kripto ini dirancang cerdik untuk hanya mengeksploitasi performa perangkat keras komputer (CPU/GPU) secara maksimal ketika sistem mendeteksi komputer sedang dalam kondisi tidak digunakan pengguna (idle).

Respons Manajemen Hola: Klaim Hanya Berdampak pada 0,1% Pengguna

Setelah mendapatkan laporan temuan dari AppEsteem, manajemen Hola mengonfirmasi bahwa infrastruktur distribusi mereka memang telah mengalami insiden peretasan supply chain. Temuan penyerangan ini juga divalidasi secara independen oleh firma respons insiden keamanan siber, Sygnia.

Kendati membenarkan adanya penyusupan biner berbahaya, vendor perangkat lunak tersebut mengeklaim dampak serangan ini tergolong sangat terlokalisir. CEO Hola, Avi Raz Cohen, menyatakan bahwa hanya sekitar 0,1% dari total basis pengguna mereka yang terdampak oleh file ‘me.exe’ tersebut. Pihak perusahaan juga menegaskan tidak menemukan bukti adanya kebocoran, pencurian, ataupun akses tidak sah terhadap data pribadi para pengguna.

Pernyataan Resmi CEO Hola, Avi Raz Cohen: “Kami telah membangun ulang seluruh jalur pipa distribusi (distribution pipeline) kami dari awal, mengimplementasikan verifikasi kode penandatanganan tingkat lanjut (advanced code-signing verification), serta menerapkan kontrol akses yang lebih ketat disertai pemantauan terus-menerus di seluruh infrastruktur kami. Langkah-langkah ini dirancang untuk memastikan bahwa hanya komponen yang terdeklarasi, bersertifikasi, dan ditandatangani resmi yang akan dikirimkan kepada pengguna kami.”

Hingga saat berita ini diturunkan, pihak Hola belum memberikan rincian teknis lebih lanjut terkait bagaimana kronologi awal peretas bisa menjebol gerbang distribusi mereka, siapa dalang di balik serangan siber ini, serta apakah pengguna Hola di platform lain (seperti ekstensi Android atau macOS) ikut terinfeksi atau tidak.

Sumber: Sophos Malicious Analysis