Ekstensi berbahaya untuk browser Chrome, Brave, dan Opera dimanfaatkan untuk mencuri aset kripto dari korban, ini merupakan bagian dari kampanye Satacom baru-baru ini yang ditemukan oleh Kaspersky.
Hampir 30.000 pengguna berisiko menjadi target serangan selama dua bulan terakhir. Penyerang telah menerapkan berbagai tindakan berbahaya untuk memastikan ekstensi tetap tidak terdeteksi saat pengguna yang tidak waspada menjelajahi situs web pertukaran aset kripto yang ditargetkan, termasuk Coinbase dan Binance.
Selain itu, ekstensi memungkinkan pelaku ancaman untuk menyembunyikan notifikasi transaksi apa pun yang dikirim ke korban melalui situs web ini untuk mencuri aset kripto mereka secara diam-diam. Laporan terperinci tentang kampanye ini tersedia di Securelist.
Kampanye baru-baru ini terkait dengan pengunduh Satacom, keluarga malware terkenal yang aktif sejak 2019 dan sebagian besar dikirimkan melalui malvertising yang ditempatkan di situs web pihak ketiga.
Tautan atau iklan berbahaya mengarahkan pengguna ke layanan berbagi-file palsu dan halaman berbahaya lainnya yang menawarkan untuk mengunduh arsip yang berisi Pengunduh Satacom. Dalam kasus kampanye baru-baru ini, itu mengunduh ekstensi browser berbahaya. Kampanye terbaru menginstal ekstensi browser yang mencuri aset kripto dan menyembunyikan aktivitasnya. Tujuan utama kampanye ini adalah mencuri bitcoin (BTC) dari akun korban dengan melakukan injeksi web ke situs web aset kripto yang ditargetkan. Namun, malware tersebut dapat dengan mudah dimodifikasi untuk menargetkan aset kripto lainnya. Malware mencoba mencapai tujuannya dengan memasang ekstensi untuk browser berbasis Chromium – seperti Chrome, Brave, dan Opera – dan menargetkan pengguna individu yang memegang aset di seluruh dunia. Data telemetri Kaspersky mengungkapkan bahwa selama bulan April dan Mei tahun ini, hampir 30.000 orang berisiko menjadi sasaran kampanye. Dalam dua bulan terakhir, negara yang paling terdampak ancaman ini adalah Brasil, Meksiko, Aljazair, Turki, India, Vietnam, dan india.
Modus Terungkap
Ekstensi berbahaya melakukan manipulasi browser saat pengguna menjelajahi situs web pertukaran aset kripto yang ditargetkan. Kampanye ini menargetkan pengguna Coinbase, Bybit, Kucoin, Huobi, dan Binance. Selain mencuri aset kripto, ekstensi melakukan tindakan tambahan untuk menyembunyikan aktivitas utamanya. Misalnya, menyembunyikan konfirmasi email dari transaksi dan memodifikasi utas email yang ada dari situs web kripto untuk membuat utas palsu yang menyerupai yang asli.
Dalam kampanye ini, penyerang tidak perlu menemukan cara untuk menyusup ke toko ekstensi resmi karena mereka menggunakan pengunduh Satacom untuk pengiriman. Infeksi awal dimulai dengan file arsip ZIP, yang diunduh dari situs web yang tampaknya meniru portal perangkat lunak dan memungkinkan pengguna mengunduh perangkat lunak yang diinginkan (sering di-crack) secara gratis. Satacom biasanya mengunduh berbagai binari ke mesin korban. Kali ini peneliti Kaspersky mengamati skrip PowerShell yang melakukan pemasangan ekstensi browser berbahaya.
Kemudian, serangkaian tindakan berbahaya memungkinkan ekstensi berjalan diam-diam saat pengguna menjelajahi internet. Akibatnya, penyerang mampu mentransfer BTC dari dompet korban ke dompet mereka menggunakan suntikan web.
"Penjahat dunia maya telah meningkatkan ekstensi dengan menambahkan kemampuan untuk mengontrolnya melalui perubahan skrip. Ini berarti bahwa mereka dapat dengan mudah mulai menargetkan aset kripto lain. Selain itu, karena ekstensi berbasis browser, ia dapat menargetkan platform Windows, Linux, dan macOS. Sebagai pencegahan, pengguna disarankan untuk secara teratur memeriksa akun online mereka untuk aktivitas yang mencurigakan dan menggunakan solusi keamanan yang andal untuk melindungi diri dari ancaman seperti ini," kata Haim Zigel, analis malware di Kaspersky.
Analisis teknis terperinci dari malware tersedia di Securelist. Untuk memaksimalkan manfaat menggunakan aset kripto dengan aman, pakar Kaspersky juga merekomendasikan:
Berhati-hatilah terhadap penipuan phishing: Penipu sering kali menggunakan email phishing atau situs web palsu untuk mengelabui orang agar mengungkapkan kredensial masuk atau kunci pribadi mereka. Selalu periksa ulang URL situs web dan jangan klik tautan yang mencurigakan.
Jangan bagikan informasi pribadi Anda: Informasi pribadi Anda membuka kunci dompet aset kripto Anda. Jaga kerahasiaannya dan jangan pernah membaginya dengan siapa pun.
Edukasi diri sendiri: tetap terinformasi tentang ancaman dunia maya terbaru dan praktik terbaik untuk menjaga keamanan aset kripto Anda. Semakin banyak yang Anda ketahui tentang perlindungan siber semakin baik perlengkapan Anda untuk mencegah serangan dunia maya.
Riset sebelum berinvestasi: sebelum berinvestasi dalam aset kripto apa pun, teliti proyek dan tim di belakangnya secara menyeluruh. Periksa situs web proyek, white paper, dan saluran media sosial untuk memastikan bahwa proyek tersebut sah.
Gunakan solusi keamanan: solusi keamanan yang andal akan melindungi perangkat Anda dari berbagai jenis ancaman. Kaspersky Premium mencegah semua penipuan aset kripto baik yang dikenal maupun tidak, serta penggunaan komputer untuk akses tidak sah menuju asset kripto Anda.