TEMPO.CO, Jakarta - Perusahaan keamanan siber asal Rusia, Kaspersky, mengungkapkan modus melalui ekstensi berbahaya untuk browser Chrome, Brave, dan Opera yang dimanfaatkan untuk mencuri aset kripto seperti Bitcoin.

Hal itu merupakan bagian dari kampanye Satacom, keluarga malware terkenal yang aktif sejak 2019 dan sebagian besar dikirimkan (dalam bentuk tautan atau iklan berbahaya) melalui malvertising yang ditempatkan di situs web pihak ketiga.

Data telemetri Kaspersky mengungkapkan bahwa selama bulan April dan Mei 2023, hampir 30 ribu orang berisiko menjadi sasaran kampanye. “Dalam dua bulan terakhir, negara yang paling terdampak ancaman ini adalah Brasil, Meksiko, Aljazair, Turki, India, Vietnam, dan Indonesia,” ujar analis malware di Kaspersky, Haim Zigel, lewat keterangannya, Kamis, 8 Juni 2023.

Berdasarkan data Kaspersky, jumlah pengguna yang terdampak paling tinggi secara berurutan adalah Brazil sebanyak 3.996; Meksiko 2.056; Aljazair 1.790; Turki 1.418; India 1.127; Vietnam 1.010; dan Indonesia 1.003.

Ekstensi berbahaya melakukan manipulasi browser saat pengguna menjelajahi situs web pertukaran aset kripto yang ditargetkan. “Kampanye ini menargetkan pengguna Coinbase, Bybit, Kucoin, Huobi, dan Binance,” kata Zigel.

Selanjutnya: Selain mencuri aset kripto....

<!--more-->

Selain mencuri aset kripto, ekstensi melakukan tindakan tambahan untuk menyembunyikan aktivitas utamanya. Misalnya, dia mencontohkan, menyembunyikan konfirmasi email dari transaksi dan memodifikasi utas email yang ada dari situs web kripto untuk membuat utas palsu yang menyerupai yang asli.

Melalui modus ini, penyerang biasanya mengirim tautan atau iklan berbahaya yang mengarahkan pengguna ke layanan berbagi-file palsu dan halaman berbahaya lainnya yang menawarkan untuk mengunduh arsip yang berisi Pengunduh Satacom. “Dalam kasus kampanye baru-baru ini, itu mengunduh ekstensi browser berbahaya,” ujar dia.

Dalam kampanye ini, penyerang tidak perlu menemukan cara untuk menyusup ke toko ekstensi resmi karena mereka menggunakan pengunduh Satacom untuk pengiriman. Infeksi awal dimulai dengan file arsip ZIP, yang diunduh dari situs web yang tampaknya meniru portal perangkat lunak.

Hal itu memungkinkan pengguna mengunduh perangkat lunak yang diinginkan (sering di-crack) secara gratis. Satacom biasanya mengunduh berbagai binari ke mesin korban. Kali ini peneliti Kaspersky mengamati skrip PowerShell yang melakukan pemasangan ekstensi browser berbahaya.

Kemudian, serangkaian tindakan berbahaya memungkinkan ekstensi berjalan diam-diam saat pengguna menjelajahi internet. “Akibatnya, penyerang mampu mentransfer Bitcoin dari dompet korban ke dompet mereka menggunakan suntikan web,” ucap Zigel.

Pilihan Editor: Korban Kebakaran Plumpang Tagih Ganti Rugi, Begini Kata Pertamina

Ikuti berita terkini dari Tempo di Google News, klik di sini