TEMPO.CO, Jakarta - Perusahaan keamanan siber asal Rusia, Kaspersky, menemukan ekstensi berbahaya untuk browser Chrome, Brave, dan Opera yang dimanfaatkan untuk mencuri aset kripto Bitcoin.

Ini merupakan bagian dari kampanye Satacom, keluarga malware terkenal yang aktif sejak 2019 dan sebagian besar dikirimkan (dalam bentuk tautan atau iklan berbahaya) melalui malvertising yang ditempatkan di situs web pihak ketiga.

Analis malware di Kaspersky Haim Zigel menjelaskan tautan atau iklan berbahaya yang dikirimkan mengarahkan pengguna ke layanan berbagi-file palsu dan halaman berbahaya lainnya yang menawarkan untuk mengunduh arsip yang berisi Pengunduh Satacom. “Dalam kasus kampanye baru-baru ini, itu mengunduh ekstensi browser berbahaya,” ujar dia lewat keterangan tertulis dikutip Kamis, 8 Juni 2023.

Dalam kampanye ini, penyerang tidak perlu menemukan cara untuk menyusup ke toko ekstensi resmi karena mereka menggunakan pengunduh Satacom untuk pengiriman. Infeksi awal dimulai dengan file arsip ZIP, yang diunduh dari situs web yang tampaknya meniru portal perangkat lunak.

Hal itu memungkinkan pengguna mengunduh perangkat lunak yang diinginkan (sering di-crack) secara gratis. Satacom biasanya mengunduh berbagai binari ke mesin korban. Kali ini peneliti Kaspersky mengamati skrip PowerShell yang melakukan pemasangan ekstensi browser berbahaya.

Kemudian, serangkaian tindakan berbahaya memungkinkan ekstensi berjalan diam-diam saat pengguna menjelajahi internet. “Akibatnya, penyerang mampu mentransfer Bitcoin dari dompet korban ke dompet mereka menggunakan suntikan web,” ucap Zigel.

Selanjutnya: Penyerang melakukan berbagai tindakan berbahaya ...

<!--more-->

Menurut dia, penyerang melakukan berbagai tindakan berbahaya untuk memastikan ekstensi tetap tidak terdeteksi. Bahkan saat pengguna yang tidak waspada menjelajahi situs web pertukaran aset kripto yang ditargetkan, termasuk Coinbase dan Binance.

“Penjahat dunia maya telah meningkatkan ekstensi dengan menambahkan kemampuan untuk mengontrolnya melalui perubahan skrip. Ini berarti bahwa mereka dapat dengan mudah mulai menargetkan aset kripto lain,” ujar Zigel.

Selain itu, ekstensi memungkinkan pelaku ancaman untuk menyembunyikan notifikasi transaksi apa pun yang dikirim ke korban melalui situs web ini untuk mencuri aset kriptonya secara diam-diam. Bahkan, karena ekstensi berbasis browser, ia dapat menargetkan platform Windows, Linux, dan macOS.

Data telemetri Kaspersky mengungkapkan bahwa selama bulan April dan Mei tahun ini, hampir 30.000 orang berisiko menjadi sasaran kampanye. Dalam dua bulan terakhir, negara yang paling terdampak ancaman ini adalah Brasil, Meksiko, Aljazair, Turki, India, Vietnam, termasuk Indonesia.

Pilihan Editor: Kasus Aset Kripto Senilai USD 30 Ribu Hilang, Praktisi Investasi: Tak Banyak Pengaruhi Pasar

Ikuti berita terkini dari Tempo di Google News, klik di sini