Google telah menghapus 49 ekstensi browser Chrome dari Web Store-nya. Ekstensi itu menyamarkan diri sebagai dompet cryptocurrency tetapi mengandung kode jahat. Mereka akan menyedot informasi sensitif dan mengosongkan mata uang digital. Ini jelas sangat berbahay dan juga akan merugikan para penggun yang telah tertipu.
Ke-49 browser add-on, yang berpotensi adalah karya orang dari Rusia. Hal ini sudah diidentifikasi oleh para peneliti dari MyCrypto dan PhishFort.
“Ekstensi phising biasanya sering menggunakan fitur private keys. Selain itu fitur seperti frasa mnemonik serta file keystore juga mereka gunakan. Setelah pengguna memasukkannya, ekstensi mengirim permintaan HTTP POST ke backendnya, tempat aktor jahat menerima rahasia dan mengosongkan akun,” jelas Harry Denley, direktur keamanan di MyCrypto.
Pihak Google Chrome Segera Bertindak
Ekstensi memang telah dihapus dalam waktu 24 jam setelah mereka dilaporkan ke Google. Namun analisis MyCrypto menunjukkan bahwa mereka mulai muncul di Web Store pada awal Februari 2020. Dan menurut mereka ini sudah meningkat pada bulan-bulan berikutnya. Selain itu, semua ekstensi berfungsi sama, satu-satunya perbedaan adalah merek dompet cryptocurrency yang terkena dampak. Seperti Ledger, Jaxx, Trezor, MyEtherWallet, Electrum, Exodus, MetaMask dan KeepKey.
Misalnya, MEW CX, add on MyEtherWallet, ditemukan menangkap frasa unggulan. Mereka akan mentransmisikannya ke server yang dikendalikan penyerang dengan maksud untuk menguras dompet dana digital korban. Namun, dana tidak dicuri dari setiap akun dengan cara ini. Para peneliti berteori ini bisa jadi karena penjahat mengejar akun bernilai tinggi saja atau bahwa mereka harus secara manual menyapu akun.
Beberapa ekstensi, kata Denley, datang dengan ulasan bintang lima palsu. Sehingga meningkatkan kemungkinan pengguna agar tidak curiga untuk mengunduhnya dan menggunakannya.
“Ada kelompok yang menulis ulasan yang baik tentang ekstensi berbahaya yang cukup banyak. Namun, sulit untuk mengatakan apakah mereka adalah korban penipuan phishing, atau hanya membantu masyarakat untuk tidak mengunduh,” tambah Denley.
Ekstensi pencurian data telah menjadi kejadian biasa di Toko Web Chrome. Namun Google juga membersihkannya segera setelah ditemukan. Kembali pada bulan Februari, perusahaan menghapus 500 ekstensi berbahaya. Mereka ketahuan melayani adware dan mengirimkan aktivitas penjelajahan pengguna ke server C2 di bawah kendali penyerang.
Comments