Waspada! Ekstensi Chrome Palsu Intai Data Pribadi

Dunia keamanan siber kembali diguncang dengan ditemukannya lebih dari 100 ekstensi Chrome berbahaya yang berhasil menyusup ke Chrome Web Store sejak Februari 2024. Ekstensi-ekstensi ini, yang tampak seperti alat bantu sah dan bermanfaat, ternyata menyimpan fungsi tersembunyi yang sangat membahayakan pengguna internet, mulai dari pencurian data, peretasan sesi, hingga penyisipan iklan secara diam-diam.

Modus Baru yang Menipu

Menurut laporan terbaru dari DomainTools Intelligence (DTI), pelaku yang belum diketahui identitasnya membuat berbagai ekstensi palsu dan menyebarkannya melalui situs web yang tampak resmi. Situs-situs ini meniru layanan populer seperti alat produktivitas, media analyzer, layanan VPN, platform crypto, perbankan digital, dan lainnya. Tujuan utama dari rekayasa sosial ini adalah memancing pengguna agar mengunduh ekstensi jahat tersebut dari Chrome Web Store.

Meskipun secara tampilan ekstensi-ekstensi ini terlihat meyakinkan dan seolah-olah menyediakan fitur bermanfaat, kenyataannya mereka digunakan untuk mencuri kredensial login, cookie, mengambil alih sesi pengguna, menyisipkan iklan tersembunyi, melakukan pengalihan berbahaya, hingga memanipulasi tampilan halaman (DOM) guna melakukan phishing.

Izin Akses yang Disalahgunakan

Salah satu aspek yang membuat ekstensi-ekstensi ini sangat berbahaya adalah permintaan izin yang berlebihan dalam file manifest.json. Beberapa izin yang diminta antara lain:

• Mengakses semua situs yang dikunjungi pengguna.
• Menjalankan skrip berbahaya dari server pelaku.
• Melakukan pengalihan URL secara otomatis.
• Menyisipkan iklan tanpa sepengetahuan pengguna.

Tidak hanya itu, para pelaku juga memanfaatkan event handler “onreset” dalam elemen DOM sementara, teknik yang diduga digunakan untuk menghindari deteksi oleh kebijakan keamanan konten atau Content Security Policy (CSP).

Situs Palsu yang Menyerupai Asli

Beberapa situs palsu yang berhasil diidentifikasi antara lain meniru layanan DeepSeek, Manus, DeBank, FortiVPN, dan Site Stats. Situs-situs ini seolah-olah menawarkan layanan resmi, tetapi sebenarnya bertujuan untuk mengelabui pengguna agar memasang ekstensi berbahaya. Setelah terpasang, ekstensi tersebut langsung mencuri cookie, menjalankan skrip dari server eksternal, dan membuka koneksi WebSocket untuk menjadikan perangkat korban sebagai bagian dari jaringan proxy pelaku.

Distribusi Melalui Media Sosial dan Hasil Pencarian

DomainTools menduga bahwa penyebaran ekstensi ini dilakukan melalui metode umum seperti phishing dan promosi di media sosial. Fakta bahwa ekstensi dan situs pendukungnya muncul di hasil pencarian Google maupun pencarian dalam Chrome Store memperbesar kemungkinan korban jatuh ke dalam perangkap.

Lebih mencurigakan lagi, banyak situs palsu ini diketahui menggunakan ID pelacakan milik Facebook, yang menandakan kemungkinan penggunaan platform Meta seperti grup, halaman, atau bahkan iklan berbayar sebagai sarana distribusi.

Manipulasi Ulasan dan Penilaian

Pelaku juga diketahui memanipulasi ulasan pengguna untuk mempertahankan reputasi palsu ekstensi mereka. Dalam kasus ekstensi tiruan DeepSeek, pengguna yang memberikan penilaian rendah (1–3 bintang) diarahkan ke formulir umpan balik palsu, sementara yang memberikan penilaian tinggi (4–5 bintang) diarahkan ke halaman resmi Chrome Web Store untuk memberikan ulasan publik.

Temuan Tambahan dari LayerX

Dalam analisis lanjutan, perusahaan keamanan browser LayerX menemukan lebih dari 40 ekstensi berbahaya lainnya yang tergabung dalam tiga kampanye phishing berbeda. Ekstensi-ekstensi ini juga masih tersedia di Chrome Web Store saat laporan ini ditulis. Menurut LayerX, para pelaku ancaman tampaknya menggunakan alat otomatis berbasis AI untuk memproduksi ekstensi palsu secara massal, meniru format, struktur, dan bahasa dari alat populer yang sah.

“Dengan pendekatan otomatis ini, pelaku dapat dengan mudah memperluas skala serangan tanpa banyak usaha manual,” ujar Or Eshed, CEO LayerX Security. Ia menambahkan bahwa ekstensi-ekstensi ini memberikan akses terus-menerus ke sesi pengguna yang dapat dimanfaatkan untuk pencurian data, impersonasi, bahkan masuk ke sistem perusahaan.

Risiko Tinggi Bagi Lingkungan Organisasi

Bahaya terbesar muncul di lingkungan kerja atau organisasi. Jika satu perangkat atau akun pengguna disusupi oleh ekstensi berbahaya, maka seluruh sistem dan data internal perusahaan dapat terancam. Eshed mengingatkan bahwa penghapusan dari Chrome Web Store tidak secara otomatis menghapus ekstensi dari perangkat pengguna. Oleh karena itu, pengguna disarankan untuk menghapusnya secara manual dan organisasi harus memeriksa satu per satu ekstensi yang terpasang pada perangkat kerja mereka.

Langkah-Langkah Pencegahan

Untuk melindungi diri dari risiko ekstensi berbahaya ini, pengguna internet disarankan untuk:

• Mengunduh ekstensi hanya dari pengembang yang sudah diverifikasi.
• Memeriksa izin akses yang diminta sebelum pemasangan.
• Membaca ulasan pengguna secara cermat dan kritis.
• Menghindari ekstensi yang meniru layanan populer dengan nama atau logo yang mirip.

Namun perlu diingat, ulasan dan rating pun bisa dimanipulasi seperti yang terjadi dalam kasus ini. Maka dari itu, kehati-hatian ekstra sangat diperlukan.

Rekomendasi untuk Organisasi

Bagi organisasi, Eshed memberikan beberapa saran tambahan untuk membatasi risiko:

• Blokir ekstensi dari penerbit yang tidak terverifikasi.
• Pantau aktivitas ekstensi yang berkomunikasi dengan domain mencurigakan.
• Gunakan sistem keamanan internal untuk mendeteksi dan menonaktifkan ekstensi yang mencurigakan.

Kasus ini menjadi pengingat penting bahwa meskipun platform seperti Chrome Web Store tampak terpercaya, tetap saja bisa menjadi ladang penyebaran ancaman siber jika tidak diawasi dengan ketat. Kesadaran dan kewaspadaan pengguna, baik individu maupun organisasi, adalah kunci utama untuk melindungi data dan perangkat dari serangan yang semakin canggih.