Ekstensi berbahaya menyamar sebagai Tool populer, diam-diam melacak kebiasaan menjelajah dan mengekspos jutaan pengguna pada risiko pembajakan, menurut para peneliti.
EtIndonesia. Lebih dari 2 juta pengguna Google Chrome dan Microsoft Edge menjadi korban dari apa yang disebut para peneliti keamanan siber di Koi Security sebagai kampanye malware yang “sofistikated”—salah satu operasi pembajakan peramban terbesar yang pernah diungkap perusahaan tersebut.
Kampanye ini—dijuluki RedDirection—berpusat pada 18 ekstensi peramban berbahaya yang tersedia untuk diunduh melalui Chrome Web Store milik Google dan Edge Add-ons milik Microsoft, menurut laporan Koi Security pada 8 Juli. Semua ekstensi yang teridentifikasi—yang daftarnya disertakan di akhir artikel ini beserta ID-nya—telah dihapus dari kedua platform.
Ekstensi berbahaya tersebut tampak sah, menawarkan alat seperti VPN proxy untuk TikTok dan Discord, pemblokir YouTube, prakiraan cuaca, pengatur kecepatan video, dan papan ketik emoji. Namun, di balik itu semua, ekstensi ini secara diam-diam melacak aktivitas penelusuran pengguna, mengumpulkan URL dari laman yang dikunjungi, dan mengekstrak pengenal pelacakan unik (tracking identifiers), menurut temuan Koi Security.
“Ini bukan serangan teoritis,” tulis Idan Dardikman dari Koi Security. “Dengan 2,3 juta pengguna berada di bawah pengawasan melalui delapan belas ekstensi berbeda, kampanye ini menciptakan kemampuan serangan man-in-the-middle yang luas dan persisten yang bisa dieksploitasi kapan saja. Setiap klik, setiap kunjungan situs web, setiap transaksi online menjadi jalur potensial serangan di seluruh jaringan besar ini.”
Malware ini menerapkan apa yang disebut Dardikman sebagai “mekanisme pembajakan peramban yang canggih” yang aktif setiap kali pengguna membuka situs web baru. Ia dapat menangkap alamat situs web tersebut dan mengirimkannya ke server jarak jauh—bersama dengan ID pelacakan unik pengguna. Peretas juga dapat mengatur malware ini untuk secara otomatis mengarahkan pengguna ke situs web berbeda, yang berpotensi berbahaya.
Meskipun Koi Security belum menyebut secara publik siapa aktor ancaman atau negara di balik operasi ini, para peneliti menggambarkan RedDirection sebagai upaya yang sangat terorganisir dan “sangat licik” yang merupakan salah satu operasi pembajakan peramban terbesar yang pernah mereka dokumentasikan. Banyak dari ekstensi tersebut awalnya berfungsi sesuai dengan yang dijanjikan, yang membantu mereka memperoleh ulasan positif dan menghindari kecurigaan di toko ekstensi resmi.
“Bayangkan saat Anda masuk ke situs web bank Anda,” tulis Dardikman dalam laporannya.
“Ekstensi ini menangkap permintaan Anda dan secara mulus mengarahkan Anda ke tiruan halaman masuk bank yang terlihat identik, namun di-host di server milik penyerang. Anda memasukkan kredensial Anda, mengira sedang mengakses akun dengan aman, padahal Anda baru saja menyerahkan informasi perbankan Anda kepada penjahat siber.”
Koi Security merekomendasikan agar pengguna yang telah menginstal salah satu dari 18 ekstensi kampanye RedDirection segera menghapusnya, lalu membersihkan data penjelajahan mereka untuk menghilangkan pengenal pelacakan yang mungkin tersimpan di komputer. Perusahaan juga menyarankan pengguna menjalankan pemindaian malware sistem secara menyeluruh untuk memeriksa infeksi lain, serta memantau akun mereka terhadap aktivitas mencurigakan.
Tinjauan atas Chrome Web Store dan Microsoft Edge Add-ons menunjukkan bahwa ke-18 ekstensi tersebut sudah tidak tersedia lagi untuk diunduh.
The Epoch Times telah menghubungi Google dan Microsoft untuk meminta tanggapan.
Daftar Ekstensi Berbahaya Terkait Kampanye RedDirection (beserta ID uniknya):
Ekstensi Chrome:
- Emoji keyboard online—copy & paste your emoji (ID: kgmeffmlnkfnjpgmdndccklfigfhajen)
- Free Weather Forecast (ID: dpdibkjjgbaadnnjhkmmnenkmbnhpobj)
- Video Speed Controller—Video manager (ID: gaiceihehajjahakcglkhmdbbdclbnlf)
- Unlock Discord—VPN Proxy to Unblock Discord Anywhere (ID: mlgbkfnjdmaoldgagamcnommbbnhfnhf)
- Dark Theme—Dark Reader for Chrome (ID: eckokfcjbjbgjifpcbdmengnabecdakp)
- Volume Max—Ultimate Sound Booster (ID: mgbhdehiapbjamfgekfpebmhmnmcmemg)
- Unblock TikTok—Seamless Access with One-Click Proxy (ID: cbajickflblmpjodnjoldpiicfmecmif)
- Unlock YouTube VPN (ID: pdbfcnhlobhoahcamoefbfodpmklgmjm)
- Color Picker, Eyedropper—Geco colorpick (ID: eokjikchkppnkdipbiggnmlkahcdkikp)
- Weather (ID: ihbiedpeaicgipncdnnkikeehnjiddck)
Ekstensi Edge:
- Unlock TikTok (ID: jjdajogomggcjifnjgkpghcijgkbcjdi)
- Volume Booster—Increase your sound (ID: mmcnmppeeghenglmidpmjkaiamcacmgm)
- Web Sound Equalizer (ID: ojdkklpgpacpicaobnhankbalkkgaafp)
- Header Value (ID: lodeighbngipjjedfelnboplhgediclp)
- Flash Player—games emulator (ID: hkjagicdaogfgdifaklcgajmgefjllmd)
- Youtube Unblocked (ID: gflkbgebojohihfnnplhbdakoipdbpdm)
- SearchGPT—ChatGPT for Search Engine (ID: kpilmncnoafddjpnbhepaiilgkdcieaf)
- Unlock Discord (ID: caibdnkmpnjhjdfnomfhijhmebigcelo)
