Gawat! 16 ekstensi Chrome ini diduga disusupi kode berbahaya

Para peretas kini semakin kreatif dalam mencari korban baru. Setelah sekian lama menggunakan taktik phising melalui email atau menggunakan aplikasi palsu, kini mereka memilih cara lain untuk menjebak korban tanpa dicurigai sama sekali.

Kali ini, mereka menggunakan taktik berupa memanfaatkan ekstensi peramban Chrome. Tak tanggung-tanggung, jumlah korban yang rentan terkena jebakan ini mencapai 600 ribu pengguna di seluruh dunia.

Yang paling menarik, keseluruhan korban ini terdeteksi dari 16 ekstensi saja. Jumlah ini pun diperkirakan akan terus meningkat karena saat ini sudah ada milyaran ekstensi untuk peramban Chrome yang bisa bebas diunduh pengguna.

Dilansir dari laman Thehackernews (30/12), meski menggunakan ekstensi Chrome, namun serangan yang mereka gunakan berdasarkan teknik phising. Pengguna ditipu untuk menggunakan izin akses mereka yang dimanfaatkan peretas untuk memasukkan kode berbahaya ke dalam ekstensi yang sah untuk mencuri cookie dan token akses pengguna.

Serangan ini pertama kali diidentifikasi setelah firma keamanan siber Cyberhaven dilaporkan terkena serangan tersebut. Hal ini terjadi pada tanggal 27 Desember, dimana Cyberhaven mengungkapkan bahwa seorang pelaku ancaman membahayakan ekstensi browsernya.

Peretas mencoba menyuntikkan kode berbahaya untuk berkomunikasi dengan server Command and Control (C&C) eksternal yang terletak di domain cyberhavenext[.]pro, mengunduh file konfigurasi tambahan, dan mencuri data pengguna.

"Ekstensi peramban merupakan bagian terlemah dari keamanan web," kata Or Eshed, CEO LayerX Security yang mengkhususkan diri dalam keamanan ekstensi peramban. 

"Meskipun kita cenderung menganggap ekstensi peramban tidak berbahaya, dalam praktiknya, ekstensi peramban sering kali diberi izin yang luas untuk mengakses informasi sensitif pengguna seperti kuki, token akses, informasi identitas, dan banyak lagi. Banyak organisasi bahkan tidak tahu ekstensi apa yang telah mereka instal di titik akhir mereka, dan tidak menyadari sejauh mana paparannya."

Setelah berita tentang pelanggaran Cyberhaven tersiar, ekstensi tambahan yang juga disusupi dan berkomunikasi dengan server C&C yang sama dengan cepat diidentifikasi. Jamie Blasco, CTO perusahaan keamanan SaaS Nudge Security, mengidentifikasi domain tambahan yang mengarah ke alamat IP yang sama dari server C&C yang digunakan untuk pelanggaran Cyberhaven.

Dan berikut ini daftar ekstensi browser tambahan yang saat ini diduga telah disusupi :

• AI Assistant - ChatGPT and Gemini for Chrome
• Bard AI Chat Extension
• GPT 4 Summary with OpenAI
• Search Copilot AI Assistant for Chrome
• TinaMInd AI Assistant
• Wayin AI
• VPNCity
• Internxt VPN
• Vindoz Flex Video Recorder
• VidHelper Video Downloader
• Bookmark Favicon Changer
• Castorus
• Uvoice
• Reader Mode
• Parrot Talks
• Primus

Ekstensi tambahan yang disusupi ini menunjukkan bahwa Cyberhaven bukanlah target satu kali, tetapi bagian dari kampanye serangan berskala luas yang menargetkan ekstensi browser yang sah. Analisis Cyberhaven yang disusupi menunjukkan bahwa kode berbahaya tersebut menargetkan data identitas dan token akses akun Facebook, khususnya akun bisnis Facebook:

Cyberhaven juga mengatakan bahwa versi berbahaya dari ekstensi peramban tersebut telah dihapus sekitar 24 jam setelah diluncurkan. Beberapa ekstensi lain yang terekspos juga telah diperbarui atau dihapus dari Toko Web Chrome.

Namun, fakta bahwa ekstensi tersebut dihapus dari toko Chrome tidak berarti bahwa paparannya sudah berakhir, kata Or Eshed. "Selama versi ekstensi yang disusupi masih aktif di titik akhir, peretas masih dapat mengaksesnya dan mencuri data."

Peneliti keamanan terus mencari ekstensi tambahan yang terekspos, tetapi kecanggihan dan cakupan kampanye serangan ini telah meningkatkan taruhan bagi banyak organisasi dalam mengamankan ekstensi browser mereka.