Ratusan Ekstensi Google Chrome Palsu Mengintai Kredensial Anda

Ratusan Ekstensi Google Chrome Palsu Mengintai Kredensial Anda – Ekstensi browser Google Chrome yang kita gunakan sehari-hari untuk menambah fitur dan kemudahan ternyata bisa menjadi pintu masuk kejahatan siber yang berbahaya.

Sebuah operasi penipuan besar-besaran di Chrome Web Store telah terungkap, melibatkan lebih dari 100 ekstensi palsu yang meniru alat-alat populer seperti:

VPN.
Asisten AI.
Utilitas kripto.

Tujuan utamanya adalah mencuri cookie browser pengguna dan menjalankan skrip berbahaya dari jarak jauh secara diam-diam.

Para penjahat siber ini sangat licik. Ekstensi palsu yang mereka buat memang menawarkan sebagian dari fungsi yang dijanjikan, sehingga pengguna tidak curiga.

Namun, di balik itu, ekstensi ini juga terhubung ke infrastruktur penyerang untuk mencuri informasi pengguna atau menerima perintah untuk dieksekusi.

Lebih parahnya lagi, ekstensi Chrome jahat ini punya kemampuan untuk memodifikasi lalu lintas jaringan. Ini berarti mereka dapat:

Menampilkan iklan yang tidak diinginkan,.
Mengalihkan Anda ke situs web palsu.
Bahkan bertindak sebagai proxy untuk merutekan lalu lintas internet Anda melalui server berbahaya milik penyerang.

Kampanye ini pertama kali ditemukan oleh peneliti keamanan dari DomainTools. Mereka menemukan lebih dari 100 domain palsu yang mempromosikan alat-alat ini kepada pengguna yang tidak menaruh curiga, kemungkinan besar melalui malvertising (iklan berbahaya).

Domain-domain palsu ini mencakup berbagai merek VPN palsu, serta upaya penyamaran merek-merek terkenal seperti Fortinet, YouTube, DeepSeek AI, dan Calendly.

Domain-domain Palsu yang Ditemukan

Ratusan Ekstensi Google Chrome Palsu Mengintai Kredensial Anda — Credit image: Pixabay

earthvpn[.]top
irontunnel[.]world and iron-tunnel[.]com
raccoon-vpn[.]world
orchid-vpn[.]com
soul-vpn[.]com
forti-vpn[.]com and fortivnp[.]com
debank-extension[.]world and debank[.]sbs, debank[.]click
youtube-vision[.]com and youtube-vision[.]world
deepseek-ai[.]link
calendlydaily[.]world, calendlydocker[.]com, calendly-director[.]com
whale-alerts[.]org and whale-alert[.]life
madgicxads[.]world and madgicx-plus[.]com
similar-net[.]com
workfront-plus[.]com
flight-radar[.]life

Situs-situs web ini dilengkapi tombol “Add to Chrome” yang secara langsung mengarahkan ke ekstensi berbahaya di Chrome Web Store, sehingga meningkatkan rasa kepercayaan pengguna.

Baca juga: Mobile Phising

Membongkar Modus Operandi dan Dampaknya

Meskipun Google telah menghapus banyak ekstensi yang diidentifikasi oleh DomainTools, laporan lain mengonfirmasi bahwa beberapa di antaranya masih bertahan di Chrome Web Store.

Para peneliti menjelaskan bahwa ketekunan para pelaku dan jeda waktu dalam deteksi serta penghapusan menjadi ancaman nyata bagi pengguna yang mencari alat produktivitas dan peningkatan browser.

Setiap ekstensi berbahaya ini mungkin memiliki fungsi yang berbeda, tetapi semuanya meminta izin yang sangat berisiko. Izin ini memungkinkan mereka untuk mencuri cookie (termasuk token sesi yang bisa digunakan untuk mengambil alih akun), melakukan phising berbasis DOM (memanipulasi konten halaman web yang sah), dan menyuntikkan skrip dinamis.

Sebagai contoh, ekstensi “fortivpn” diketahui mencuri cookie, bertindak sebagai proxy server, memodifikasi lalu lintas jaringan, dan menjalankan skrip JavaScript arbitrer dari server jarak jauh.

Laporan tersebut menjelaskan bahwa ekstensi ini bisa diperintahkan untuk mengambil semua cookie browser, mengompresnya, meng-encode dalam Base64, dan mengirimkannya kembali ke server penyerang.

Mereka juga bisa diperintahkan untuk membuat koneksi WebSocket terpisah agar berfungsi sebagai proxy jaringan, yang berpotensi merutekan lalu lintas pengguna melalui server berbahaya.

Risiko yang muncul akibat menginstal ekstensi-ekstensi jahat ini sangat besar, meliputi pembajakan akun, pencurian data pribadi, dan pemantauan aktivitas Browse Anda.

Pada intinya, ekstensi ini memberikan penyerang sebuah backdoor di browser yang terinfeksi, sehingga potensi eksploitasinya sangat luas.

Lebih jauh lagi, para pelaku ancaman dapat menggunakan cookie sesi yang dicuri untuk membobol perangkat VPN atau akun VPN yang sah milik perusahaan, sehingga mendapatkan akses ke jaringan korporat dan menyebabkan serangan yang jauh lebih merusak.

Melindungi Diri dari Ekstensi Berbahaya

Untuk memitigasi risiko mengunduh ekstensi berbahaya dari Chrome Web Store, ada beberapa langkah penting yang bisa Anda lakukan:

Selalu instal ekstensi hanya dari penerbit yang memiliki reputasi terbukti baik dan rekam jejak yang solid.
Tinjau ulasan pengguna untuk mencari tanda-tanda mencurigakan atau keluhan. Meskipun ulasan bisa dipalsukan, jumlah ulasan yang sangat sedikit atau ulasan yang terlalu sempurna bisa menjadi red flag.
Saat menginstal ekstensi, perhatikan izin apa saja yang dimintanya. Jika sebuah ekstensi VPN meminta izin untuk membaca dan mengubah data di semua situs web yang Anda kunjungi, ini adalah tanda bahaya.
Apakah Anda benar-benar membutuhkan ekstensi tersebut? Hindari menginstal ekstensi yang tidak perlu.
Selalu curigai ekstensi yang menjanjikan terlalu banyak atau terlihat terlalu bagus untuk menjadi kenyataan.

Operasi ini mengingatkan kita bahwa penjahat siber terus mencari cara baru untuk menipu pengguna. Kewaspadaan dan kehati-hatian adalah kunci untuk menjaga keamanan data dan privasi Anda di dunia maya.

Baca artikel lainnya: