Image credit: Freepix
Malware Canggih Infeksi Pengguna Chrome dam Edge – Sebuah operasi malware canggih telah menginfeksi sekitar 4,3 juta pengguna browser Chrome dan Edge di seluruh dunia.
Infeksi ini terjadi melalui ekstensi browser berbahaya yang menyamar sebagai tool sah selama bertahun-tahun sebelum akhirnya dipersenjatai (weaponized).
Para pelaku di balik kampanye ini, yang diidentifikasi sebagai kelompok ShadyPanda diduga berbasis di Tiongkok telah mengumpulkan riwayat penelusuran, kueri pencarian, dan kredensial pengguna secara rinci.
Lebih lanjut, mereka juga membangun kemampuan eksekusi kode jarak jauh (Remote Code Execution / RCE), yang memungkinkan mereka mengendalikan ratusan ribu browser korban.
Eksploitasi Kelemahan Marketplace Selama Tujuh Tahun
Peneliti keamanan mengidentifikasi kelompok ShadyPanda ini telah mengeksploitasi kelemahan dalam keamanan marketplace browser secara sistematis. Menurut para peneliti, kunci keberhasilan ShadyPanda bukanlah sekadar kecanggihan teknis.
Ini tentang mengeksploitasi kerentanan yang sama selama tujuh tahun: Marketplace hanya meninjau ekstensi saat diajukan, mereka tidak memantau apa yang terjadi setelah disetujui menurut para peneliti.
|
Baca juga: Risiko Fans K-Pop Serangan Malware KakaoTalk |
ShadyPanda beroperasi melalui dua kampanye aktif secara simultan:
1. Kampanye Ekstensi “Tua” yang Dipercaya
Kampanye pertama melibatkan lima ekstensi berbahaya, termasuk versi “Clean Master,” sebuah utility populer yang diverifikasi Google dan telah diinstal oleh sekitar 300.000 pengguna.
- Pembangunan Kepercayaan: Ekstensi ini beroperasi secara sah selama bertahun-tahun, bahkan ada yang sejak 2018. Mereka mengumpulkan kepercayaan pengguna dan ulasan positif.
- Dipersenjatai Mendadak: Pada pertengahan 2024, ShadyPanda diam-diam memuat pembaruan yang “beracun.” Ekstensi ini sekarang mengeksekusi kode jarak jauh setiap jam, mengunduh dan menjalankan JavaScript dengan akses browser penuh, serta memonitor setiap situs yang dikunjungi pengguna dan mengeksfiltrasi riwayat penelusuran terenkripsi ke server di Tiongkok.
2. Operasi Surveillance Massal di Edge
Operasi kedua berukuran jauh lebih besar dan melibatkan lima ekstensi tambahan dari publisher yang sama. Secara gabungan, ekstensi ini memiliki 4 juta unduhan dan sebagian besar masih aktif di Edge marketplace Microsoft.
Salah satu ekstensi Edge bernama WeTab menyamar sebagai utility produktivitas dan memiliki setidaknya 3 juta pengguna di seluruh dunia.
ShadyPanda menggunakan ekstensi ini untuk mengumpulkan data setiap URL yang dikunjungi pengguna, setiap kueri pencarian, dan setiap klik mouse, lalu mengeksfiltrasi data tersebut ke sistem yang dikendalikan penyerang di Tiongkok secara real-time.
Evolusi dari Monopoli Pasif ke Pembajakan Agresif
Operasi ShadyPanda menunjukkan evolusi yang sistematis. Fase awal kampanye, yang dimulai pada tahun 2023, melibatkan hingga 145 ekstensi.
Pada fase ini, browser hanya melakukan penipuan affiliate menyuntikkan kode pelacakan ke dalam pembelian yang dilakukan pengguna di situs seperti eBay atau Amazon agar penyerang mendapatkan komisi yang tidak sah.
Meskipun sederhana, fase ini mengajarkan ShadyPanda tentang proses peninjauan marketplace dan nilai membangun kepercayaan melalui jumlah instalasi yang tinggi.
|
Baca juga: Airstalk Malware Lihai Curi Data Perusahaan |
Membajak Browser Secara Agresif
Pada fase berikutnya, ShadyPanda meningkatkan aksinya dari monetisasi pasif menjadi pembajakan browser secara terang-terangan. Mereka memersenjatai ekstensi dengan kemampuan untuk:
- Mengalihkan pencarian web.
- Mengeksfiltrasi cookie dari domain spesifik.
- Mengumpulkan kueri pencarian keystroke demi keystroke, bahkan menangkap kueri yang tidak lengkap atau salah ketik.
Data yang dikumpulkan dikirim melalui koneksi HTTP yang tidak terenkripsi, yang menunjukkan betapa agresifnya pengumpulan data profil pengguna.
Langkah-Langkah Pertahanan dan Respon Resmi
Fakta bahwa ekstensi yang telah berfungsi sah selama bertahun-tahun dapat tiba-tiba berubah menjadi malware RCE melalui mekanisme pembaruan otomatis menunjukkan adanya titik buta yang serius dalam proses keamanan marketplace browser.
- Respon Microsoft: Juru bicara Microsoft mengonfirmasi bahwa perusahaan telah menghapus semua ekstensi yang diidentifikasi sebagai berbahaya dari Edge Add-on store. Microsoft merekomendasikan pengguna untuk memperbarui Edge ke versi terbaru, menghapus ekstensi yang tidak dikenali atau tidak diperlukan, dan hanya mempertahankan ekstensi dari publisher yang terpercaya.
- Respon Google: Juru bicara Google menyatakan bahwa tidak ada ekstensi Chrome berbahaya yang disebutkan dalam laporan tersebut saat ini tersedia di marketplace resmi mereka. Google menyoroti upaya peninjauan otomatis dan manusia yang mereka lakukan pada setiap ekstensi yang diunggah, mencatat bahwa pada tahun 2024, kurang dari 1% dari semua instalasi di Chrome Web Store ditemukan mengandung malware.
Apa yang Harus Dilakukan Pengguna?
Untuk melindungi diri dari ancaman “bom waktu” seperti ShadyPanda, pengguna disarankan untuk:
- Hapus Ekstensi yang Tidak Perlu: Tinjau daftar ekstensi Anda di browser (chrome://extensions atau edge://extensions) dan hapus segera ekstensi apa pun yang tidak Anda kenali atau tidak Anda gunakan secara aktif.
- Verifikasi Penerbit: Hanya instal ekstensi dari penerbit yang sangat tepercaya dan memiliki reputasi baik.
- Waspadai Izin: Periksa izin (permissions) yang diminta oleh ekstensi. Ekstensi sederhana tidak perlu izin untuk “membaca dan mengubah semua data Anda di semua situs web.”
Sumber berita:
