Untuk lebih dari tujuh tahun berturut-turutSebuah operasi kejahatan siber berskala besar berhasil menyusup ke peramban utama di pasaran, termasuk Google Chrome dan Microsoft Edge, melalui ekstensi yang tampaknya tidak berbahaya. Cakupan serangan ini sangat luas sehingga diperkirakan bahwa setidaknya 8,8 juta pengguna Orang-orang di seluruh dunia mungkin telah terdampak, banyak di antaranya di Eropa dan Spanyol.
Investigasi ini dipimpin oleh para spesialis keamanan siber seperti firma tersebut. Koi.ai, telah mengungkap jaringan kriminal yang sangat terorganisir, yang dijuluki sebagai Spectre Gelapyang diduga mengeksploitasi kepercayaan pada toko ekstensi resmi untuk mendistribusikan malware. Aspek yang paling mengkhawatirkan adalah bahwa Sebagian besar dari mereka yang terdampak tidak memiliki kecurigaan. bahwa rincian rekening bank, kredensial, atau informasi perusahaan mereka sedang direkam di latar belakang.
Serangan senyap yang mengeksploitasi ekstensi Chrome dan Edge.
Menurut data yang diungkapkan oleh para peneliti, DarkSpectre membangun infrastruktur yang kompleks untuk menerbitkan dan memelihara kontennya. hampir 300 ekstensi berbahaya di toko resmi Chrome, Edge, Firefox, dan Opera. Banyak dari ekstensi ini disajikan sebagai utilitas sehari-hari: mulai dari pengelola tab dan penerjemah, hingga pemblokir iklan atau alat untuk meningkatkan produktivitas.
Kuncinya adalah menawarkan fitur-fitur yang sah sejak awal, sehingga mendapatkan unduhan dan reputasi yang baik berdasarkan hal tersebut. ulasan dan peringkat positif yang dihasilkan secara artifisialSetelah ekstensi tersebut menjangkau sejumlah besar pengguna, para penyerang terus menyerang. pembaruan rahasia yang menyisipkan kode berbahaya tanpa disadari pengguna akan perubahan yang jelas dalam pengoperasiannya.
Dalam kasus peramban berbasis Chromium, seperti Google Chrome dan Microsoft EdgeJaringan ekstensi tipe Trojan horse yang menyamar sebagai alat kustomisasi atau pemblokir iklan telah terdeteksi. Setidaknya satu fase serangan telah diidentifikasi. 30 ekstensi rambut yang sangat populer Mampu mencuri kredensial perbankan, kata sandi media sosial, dan data pengisian otomatis formulir, lalu mengirimkan semua informasi tersebut secara real-time ke server yang dikendalikan oleh penjahat siber.
Selain pencurian data, beberapa ekstensi ini juga menyertakan fitur-fitur seperti... Penyisipan iklan dan pengalihan pencarianHal ini memungkinkan ditampilkannya iklan yang mengganggu, mengarahkan pengguna ke situs phishing, dan melipatgandakan kemungkinan penipuan, termasuk peniruan identitas halaman bank atau layanan pembayaran yang banyak digunakan di Spanyol dan seluruh Eropa.
Lebih dari 8,8 juta korban dan tiga kampanye terkoordinasi utama.
Besarnya serangan tersebut tercermin dalam angka-angka yang ditangani oleh dinas intelijen dan perusahaan keamanan siber: diperkirakan bahwa 8,8 jutaan pengguna Mereka telah terdampak di seluruh dunia oleh berbagai kampanye yang terkait dengan DarkSpectre. Untuk mencapai hal ini, kelompok tersebut diduga melakukan hal tersebut. tiga jalur serangan yang berbeda, dikenal sebagai ShadyPanda, GhostPoster dan Zoom Stealer.
kampanye Panda Teduh Ini adalah yang paling agresif dalam hal volume. Melalui lebih dari 100 ekstensi berbahaya, yang terutama ditujukan untuk memanipulasi lalu lintas e-commerce, akan membahayakan data dari sekitar 5,6 juta penggunaSetelah fungsi tersembunyi diaktifkan, ekstensi ini dapat memodifikasi tautan di portal belanja, mengalihkan pembayaran ke halaman penipuan, atau menyuntikkan kode tambahan untuk terus melacak aktivitas pengguna.
Para ahli menunjukkan bahwa manuver-manuver ini memengaruhi toko online dan layanan pembayaran yang banyak digunakan di Uni Eropa, membuka pintu bagi... penipuan keuangan lintas batas dan potensi masalah kepatuhan regulasi bagi platform yang tidak mendeteksi manipulasi lalu lintas tepat waktu.
Serangan besar kedua, yang disebut Poster HantuTarget utamanya adalah peramban web. Firefox dan Operayang memiliki kontrol keamanan yang agak kurang ketat dibandingkan Chrome dan Edge. Dalam hal ini, faktor pembedanya adalah penggunaan steganografiPara penyerang menyembunyikan kode JavaScript berbahaya di dalam file gambar PNG, sehingga memungkinkan mereka untuk mengeksekusi instruksi jarak jauh dan mengunduh modul malware baru tanpa menimbulkan kecurigaan.
Salah satu contoh yang paling mencolok adalah kloning ekstensi dari Google Translate untuk Operayang pada pandangan pertama tampak seperti alat yang sah. Namun, di balik layar, alat tersebut memasang pintu belakang (backdoor) menggunakan sebuah iframe Secara tersembunyi, program ini menonaktifkan perlindungan anti-penipuan peramban dan membangun koneksi dengan server yang sebelumnya terkait dengan operasi DarkSpectre lainnya, menciptakan saluran akses permanen ke sistem korban.
Zoom Stealer: Lompatan ke dunia spionase dalam panggilan video perusahaan
Fase ketiga dari serangan tersebut, yang diidentifikasi sebagai Pencuri Zoom, mengambil lompatan kualitatif dengan berfokus sepenuhnya pada Lingkungan bisnisPada akhir tahun 2025, para peneliti mendeteksi setidaknya 18 ekstensi spesifik Ditargetkan pada platform konferensi video seperti Zoom, Microsoft Teams, dan Google Meet, dengan perkiraan dampak pada 2,2 jutaan pengguna.
Ekstensi ini dipromosikan sebagai pelengkap ideal untuk kerja jarak jauh dan rapat daring: mereka menjanjikan Meringkas video, menyimpan tautan yang menarik, dan membuat daftar peserta. atau menghasilkan ringkasan otomatis dari setiap sesi. Profil yang sangat menarik bagi perusahaan Spanyol dan Eropa yang telah memantapkan sistem kerja hibrida dan jarak jauh dalam beberapa tahun terakhir.
Setelah pemasangannya, alat-alat tersebut mulai mencegat informasi penting Dari panggilan video: tautan akses, ID rapat, kata sandi tamu, dan, dalam beberapa kasus, konten atau metadata yang dibagikan terkait dengan presentasi dan dokumen yang dibahas selama sesi.
Dengan data ini, para penyerang dapat mengakses pertemuan-pertemuan pribadi, yang banyak di antaranya merupakan pertemuan tingkat tinggi, dan membuat repositori data tersebut. intelijen profesional dan komersial dengan nilai strategis yang sangat besar. Menurut sumber yang dihubungi, komunikasi internal terkait rencana bisnis, perjanjian investasi, strategi pasar, dan hal-hal lain yang sangat sensitif terhadap daya saing perusahaan yang terlibat telah terganggu.
Secara paralel, Zoom Stealer memanfaatkan izin luas yang diberikan kepada ekstensi untuk melakukan eksfiltrasi kredensial waktu nyataIni termasuk kredensial login perusahaan, kunci akses ke alat cloud, dan profil profesional yang kemudian dapat digunakan kembali dalam serangan yang ditargetkan, seperti kampanye phishing yang sangat disesuaikan terhadap karyawan organisasi Eropa.
Dampak pada pengguna dan perusahaan di Eropa dan Spanyol
Kasus DarkSpectre telah menyoroti sejauh mana Jaringan toko ekstensi rambut terpercaya Hal ini dapat menjadi kerentanan bagi warga dan organisasi. Meskipun serangan tersebut memiliki jangkauan global, otoritas Eropa dan tim respons insiden di beberapa negara, termasuk Spanyol, memantau dengan cermat dampaknya terhadap pengguna lokal.
Bagi pengguna individu, konsekuensinya berujung pada... pengawasan rahasia terhadapnya aktivitas onlinePotensi pencurian identitas, transaksi tidak sah pada pembelian online, dan kebocoran data pribadi yang dapat berakhir di forum-forum rahasia. Banyak korban bahkan tidak menyadari bahwa mereka telah menjadi target, karena sebagian besar ekstensi tampak berfungsi normal.
Di ranah korporasi, dampaknya bahkan lebih serius. Perusahaan-perusahaan Eropa yang mendasarkan sebagian besar operasinya pada perangkat cloud dan konferensi video menghadapi tantangan besar. risiko spionase industriKebocoran perjanjian strategis dan terungkapnya informasi rahasia tentang klien, pemasok, dan mitra. Selain itu, perusahaan mungkin diwajibkan untuk melaporkan insiden keamanan berdasarkan peraturan seperti... Peraturan Perlindungan Data Umum (RGPD)dengan mempertimbangkan biaya reputasi dan kemungkinan sanksi.
Laporan awal menunjukkan bahwa jaringan kriminal tersebut mungkin telah membangun bangunan yang otentik. gudang data perusahaan Informasi ini diperoleh melalui percakapan pribadi, dokumen yang dibagikan dalam rapat, dan akses tidak sah ke intranet atau layanan internal. Informasi ini sangat berharga untuk dijual di pasar gelap, serta untuk kampanye pemerasan atau persaingan tidak sehat.
Otoritas Eropa bekerja sama dengan penyedia teknologi untuk meningkatkan sistem deteksi di toko-toko ekstensi rambut dan memperkuat kontrol atas penggunaan data pribadi. Namun, para ahli menunjukkan bahwa Tidak ada sistem otomatis yang sempurna. dan bahwa garis pertahanan terakhir tetaplah pengguna dan kebiasaan keamanan mereka.
Cara melindungi diri setelah serangan siber besar-besaran pada Chrome dan Edge
Menghadapi skenario yang berkepanjangan dan rumit seperti ini, para ahli keamanan siber merekomendasikan serangkaian langkah segera untuk mengurangi dampak dari serangan tersebut dan mencegah infeksi lebih lanjut, terutama di kalangan pengguna Chrome dan Edge di Spanyol dan seluruh Eropa.
Langkah pertama adalah melakukan audit lengkap ekstensi Add-on ini terpasang di semua browser. Sebaiknya periksa satu per satu dan hapus instalasi add-on yang tidak dikenali, tidak digunakan secara teratur, atau bukan dari pengembang tepercaya. Jika ragu, sebaiknya hapus dan instal ulang hanya dari sumber resmi penyedia jika benar-benar diperlukan.
Penting juga untuk memeriksa apakah browser yang digunakan sudah benar. diperbarui ke versi terbaru yang tersediaBaik Google maupun Microsoft telah memasukkan patch untuk memblokir beberapa teknik yang digunakan oleh DarkSpectre, sehingga versi terbaru mencakup peningkatan khusus dalam pendeteksian perilaku mencurigakan dan dalam pengelolaan izin ekstensi.
Mengenai akun online, disarankan untuk mengubahnya. kata sandi untuk layanan penting (email, perbankan online, media sosial, alat perusahaan) jika ada kecurigaan telah menggunakan ekstensi yang telah disusupi. Disarankan untuk memanfaatkan kesempatan ini untuk menggunakan kata sandi yang unik dan kuat untuk setiap layanan, idealnya dengan bantuan pengelola kata sandi.
Selain itu, para spesialis bersikeras untuk mengaktifkan otentikasi dua faktor (2FA) Kapan pun memungkinkan. Mekanisme ini menambahkan lapisan perlindungan ekstra, sehingga meskipun penyerang memperoleh kata sandi, akan jauh lebih sulit bagi mereka untuk mengakses akun tanpa kode sementara atau elemen verifikasi kedua.
Terakhir, bagi organisasi yang sangat bergantung pada platform seperti Zoom, Teams, atau Google Meet, disarankan untuk menerapkan Inspeksi berkala terhadap perluasan bangunan yang terpasang. di browser perusahaan, Menerapkan kebijakan keamanan yang membatasi pemasangan add-on yang tidak sah dan melatih karyawan untuk mendeteksi potensi penipuan, baik pada ekstensi maupun pada email atau tautan yang mungkin menyertai kampanye serupa.
Semua yang terungkap tentang DarkSpectre dan kampanye ShadyPanda, GhostPoster, dan Zoom Stealer-nya mencerminkan sejauh mana Ekstensi browser telah menjadi target prioritas. Bagi penjahat siber, kombinasi kepercayaan pada toko resmi, fitur-fitur yang bermanfaat, dan ulasan yang dimanipulasi telah memungkinkan mereka untuk melakukan serangan diam-diam selama bertahun-tahun dengan dampak besar pada pengguna individu dan perusahaan. Hal ini memaksa kita untuk memikirkan kembali bagaimana kita menginstal dan mengelola add-on ini dalam kehidupan digital kita sehari-hari.
