Image credit: Freepix
Ekstensi Pencuri Sesi Telegram – Peringatan keras bagi para pengguna peramban Google Chrome kembali mencuat di pertengahan April 2026 ini.
Lebih dari 100 ekstensi berbahaya ditemukan bersembunyi di dalam toko aplikasi resmi Chrome Web Store, melakukan serangkaian aksi kriminal mulai dari:
- Pencurian token Google OAuth2.
- Penanaman pintu belakang (backdoor).
- Hingga penipuan iklan berskala besar.
Penemuan ini menjadi tamparan keras bagi ekosistem aplikasi peramban karena membuktikan bahwa proses kurasi pada toko aplikasi resmi masih bisa ditembus oleh kampanye jahat yang terorganisir.
Berdasarkan investigasi teknis, kampanye ini dikelola melalui infrastruktur perintah dan kontrol (C2) yang terpusat, menunjukkan adanya koordinasi tingkat tinggi di balik layar.
Kamuflase di Balik Utilitas
Aktor ancaman ini tidak bergerak secara serampangan. Mereka menerbitkan ekstensi tersebut di bawah lima identitas pengembang yang berbeda untuk menutupi jejak.
Kategorinya pun sangat beragam, menyasar utilitas yang sering dicari oleh pengguna awam:
- Klien Sampingan Telegram: Aplikasi yang menjanjikan kemudahan akses Telegram melalui bilah samping peramban.
- Permainan Kasino: Slot machine dan permainan Keno yang tampak menghibur.
- Peningkat Fitur Media Sosial: Alat untuk menambah fungsionalitas pada platform YouTube dan TikTok.
- Alat Penerjemah Teks: Utilitas dasar untuk menerjemahkan bahasa secara cepat.
Para peneliti mengidentifikasi bahwa seluruh infrastruktur backend kampanye ini di-host pada VPS Contabo, dengan beberapa subdomain yang secara khusus menangani pembajakan sesi, pengumpulan identitas, hingga operasi monetisasi iklan.
|
Baca juga: Kerentanan Ditemukan pada Teknologi eSIM Apa Bahayanya? |
Menargetkan Jantung Identitas Digital
Hal yang paling mengkhawatirkan dari serangan ini adalah penggunaan fungsi chrome.identity.getAuthToken. Setidaknya 54 ekstensi dalam kelompok ini ditemukan secara aktif mengumpulkan:
- Nama
- Alamat email
- Foto profil
- ID akun Google korban.
Namun, puncaknya dari semua itu adalah pencurian Google OAuth2 Bearer Token, ini tujuan mereka sesungguhnya.
Bearer Token adalah kunci akses berdurasi pendek yang memungkinkan aplikasi untuk bertindak atas nama pengguna atau mengakses data pribadi mereka di ekosistem Google.
Dengan token ini, peretas tidak perlu mengetahui kata sandi korban untuk bisa “masuk” ke akun mereka. Ini adalah bentuk serangan session hijacking yang sangat efektif dan sulit dideteksi oleh pengguna awam.
Selain itu, terdapat kelompok ekstensi lain (sekitar 78 buah) yang menyuntikkan kode HTML berbahaya langsung ke antarmuka pengguna melalui properti innerHTML.
Taktik ini sering digunakan untuk memanipulasi apa yang dilihat pengguna di layar, seperti mengganti nomor rekening saat transaksi perbankan atau mencuri data formulir.
Pembajakan Sesi Telegram
Salah satu ekstensi yang disorot sebagai ancaman paling parah memiliki kemampuan untuk mencuri sesi Telegram Web setiap 15 detik. Ekstensi ini mengekstrak data sesi dari localStorage dan mengirimkannya ke server C2 milik penyerang.
Lebih canggih lagi, ekstensi tersebut dapat menerima perintah set_session_changed. Perintah ini memungkinkan peretas untuk melakukan:
- Operasi terbalik.
- Menghapus localStorage korban.
- Menimpanya dengan data sesi yang disediakan oleh aktor ancaman, lalu memuat ulang halaman secara paksa.
Hasilnya, peretas dapat menukar akun Telegram di peramban korban tanpa sepengetahuan mereka, yang bisa digunakan untuk menyebarkan pesan penipuan lebih lanjut atau spionase pribadi.
|
Baca juga: Panduan Mencegah Serangan Man-in-the-Middle |
Kelemahan Ekosistem Peramban
Berdasarkan komentar di dalam kode otentikasi dan pencurian sesi, peneliti menemukan bukti kuat bahwa kampanye ini merupakan bagian dari operasi Malware-as-a-Service (MaaS) asal Rusia.
Model bisnis ini memungkinkan penjahat siber “amatir” untuk menyewa infrastruktur canggih guna melancarkan serangan mereka sendiri.
Meskipun Google telah diberitahu mengenai kampanye ini, laporan menyebutkan bahwa banyak dari ekstensi berbahaya tersebut masih tersedia untuk diunduh di Chrome Web Store saat informasi ini dipublikasikan.
Hal ini mempertegas bahwa pengguna tidak bisa hanya mengandalkan keamanan bawaan toko aplikasi.
Peneliti dari ESET dalam berbagai laporannya sering menekankan bahwa ekstensi peramban memiliki hak istimewa yang sangat besar.
Karena mereka dapat membaca dan mengubah semua data di situs web yang dikunjungi pengguna. Hal ini menjadikan mereka vektor serangan yang ideal untuk pencurian data sensitif.
Melindungi Peramban
Untuk memastikan keamanan identitas digital Anda, berikut adalah langkah-langkah yang direkomendasikan oleh para ahli keamanan:
- Segera periksa daftar ekstensi yang terpasang di peramban Anda. Hapus aplikasi yang tidak dikenal atau yang berasal dari pengembang yang mencurigakan, terutama klien pihak ketiga untuk Telegram atau pengunduh video YouTube.
- Jika sebuah ekstensi penerjemah meminta izin untuk “membaca dan mengubah data pada semua situs web,” Anda patut curiga.
- Gunakan perlindungan seperti ESET Smart Security yang memiliki fitur pemindaian aktif terhadap skrip berbahaya dan perlindungan terhadap serangan phishing serta pencurian token sesi.
- Secara rutin periksa bagian “Aplikasi pihak ketiga dengan akses akun” di pengaturan akun Google Anda dan cabut izin untuk aplikasi yang tidak lagi Anda gunakan.
- Meskipun peretas mengincar token sesi, penggunaan MFA tetap krusial untuk mencegah upaya pengambilalihan akun secara total.
Konklusi
Serangan lewat Chrome Web Store ini membuktikan bahwa keamanan siber adalah perlombaan yang tak pernah usai. Peretas kini lebih memilih mencuri “kunci” yang sah seperti OAuth2 Bearer Token daripada mencoba menebak kata sandi.
Di tahun 2026, kewaspadaan terhadap apa yang kita pasang di peramban sama pentingnya dengan kewaspadaan terhadap file yang kita unduh ke komputer.
Pastikan Anda hanya memasang ekstensi dari vendor yang benar-benar bereputasi dan selalu lakukan pemeriksaan rutin terhadap izin yang mereka minta.
Sumber berita:
