Sebuah kampanye siber baru telah terungkap, di mana aktor ancaman yang belum diketahui identitasnya menciptakan ekstensi Chrome berbahaya yang menyamar sebagai alat bantu produktivitas, layanan VPN, dan aplikasi terkait media sejak Februari 2024. Ekstensi ini ternyata mampu mencuri data, menerima perintah jarak jauh, hingga mengeksekusi kode berbahaya.
Menurut laporan dari DomainTools Intelligence (DTI) yang dibagikan ke The Hacker News, pelaku ancaman membuat situs web palsu yang meniru layanan populer seperti DeepSeek, Manus, DeBank, FortiVPN, dan Site Stats. Situs-situs ini kemudian mengarahkan pengunjung untuk mengunduh ekstensi berbahaya melalui Chrome Web Store.
Di Balik Fitur Palsu, Ada Ancaman Nyata
Walau tampak menawarkan fungsionalitas asli seperti alat ad creator atau analisis situs, ekstensi ini secara diam-diam menjalankan aktivitas berbahaya seperti:
- Pencurian kredensial dan cookie browser
- Pembajakan sesi pengguna
- Penyisipan iklan (ad injection)
- Redirect ke situs jahat
- Manipulasi lalu lintas web dan phishing berbasis DOM
Mereka juga menggunakan trik untuk menghindari sistem keamanan browser, seperti memanfaatkan event onreset pada elemen DOM sementara, yang diduga untuk menyiasati kebijakan keamanan konten (CSP).
Akses Berlebihan dan Koneksi Jarak Jauh
Dalam berkas manifest.json, ekstensi jahat ini meminta izin akses tingkat tinggi yang memungkinkan mereka memantau seluruh situs yang dikunjungi pengguna. Lebih jauh lagi, mereka bisa:
- Menjalankan skrip yang diunduh dari server eksternal
- Mengarahkan ulang trafik pengguna
- Menyambung ke server penyerang via WebSocket untuk bertindak sebagai proxy lalu lintas
Teknik Penipuan yang Semakin Canggih
DomainTools mencatat bahwa pengguna kemungkinan diarahkan ke situs palsu melalui metode umum seperti phishing atau iklan di media sosial. Banyak situs penipuan menggunakan Facebook tracking ID, yang menunjukkan bahwa kampanye ini bisa melibatkan promosi lewat halaman atau iklan di platform Meta.
Dengan lebih dari 100 situs dan ekstensi jahat yang telah dibuat, skala operasi ini cukup masif. Untungnya, Google telah menindak dan menghapus ekstensi-ekstensi tersebut dari Chrome Web Store.
Tips Keamanan untuk Pengguna
Agar tetap aman dari serangan semacam ini, pengguna disarankan untuk:
Agar tetap aman dari serangan semacam ini, pengguna disarankan untuk:
- Mengunduh ekstensi hanya dari developer terpercaya
- Memeriksa izin yang diminta oleh ekstensi
- Membaca ulasan pengguna secara kritis, bukan hanya melihat rating
- Waspadai ekstensi dengan nama atau ikon yang mirip dengan aplikasi populer
Perlu dicatat, beberapa ekstensi bahkan memanipulasi ulasan dengan mengarahkan pengguna yang memberi rating rendah ke halaman feedback pribadi, sementara rating tinggi diarahkan ke halaman review publik di Chrome Web Store.