Microsoft Hapus 119 Ekstensi Edge yang Sembunyikan Malware dalam Gambar dan Font

Microsoft baru-baru ini mengambil tindakan tegas dengan menghapus 119 ekstensi berbahaya di Microsoft Edge yang menyembunyikan malware di dalam file gambar dan font. Ekstensi-ekstensi ini digunakan untuk mencuri kredensial pengguna dan melakukan penipuan iklan secara tersembunyi.

Operasi StegoAd yang Berbahaya

Microsoft menamai kampanye ini StegoAd, gabungan kata steganografi dan adware. Steganografi adalah teknik menyembunyikan kode eksekusi di dalam file yang tampak normal, seperti gambar PNG, WebP, atau file font WOFF2. Operasi ini telah aktif sejak setidaknya tahun 2021 dan mengaitkan aktivitasnya dengan satu aktor ancaman yang sama.

Ekstensi yang terinfeksi ini berkamuflase sebagai alat yang umum digunakan, seperti pemblokir iklan, VPN, penerjemah, dan pengunduh video. Mereka berfungsi normal dan mendapat ulasan positif sebelum kode jahatnya aktif. Pola ini memungkinkan ekstensi tetap masuk dan bertahan di toko ekstensi selama bertahun-tahun.

Teknik Steganografi dan Evasinya

Dalam kampanye ini, kode jahat disisipkan di dalam file gambar dan font yang digunakan ekstensi:

• Varian awal menyisipkan JavaScript setelah marker IEND pada ikon PNG, sehingga gambar tetap tampil normal.
• Setelah deteksi berkembang, pelaku beralih menggunakan gambar WebP dan file font WOFF2, menyembunyikan kode dalam rentang glyph khusus atau metadata font.
• Beberapa varian tidak menyimpan payload secara lokal, melainkan mengambil gambar dari server Command and Control (C2) yang hanya melayani file asli setelah pengecekan sidik jari dan User-Agent.
• Ekstensi juga mendeteksi apakah Developer Tools terbuka dan memperpanjang masa dormansi saat terdeteksi analisis, menghindari deteksi lebih lanjut.

Kerugian dari Penipuan Iklan dan Pencurian Data

Dampak yang terlihat adalah penipuan iklan yang meliputi:

• Sisipan iklan ilegal dalam browser.
• Pengalihan komisi afiliasi Amazon, eBay, dan AliExpress.
• Pengalihan pencarian yang merugikan pengguna.

Tetapi, menurut analisis Microsoft, dampak sebenarnya jauh lebih besar. Payload yang dicuri termasuk:

• Backdoor eksekusi kode jarak jauh yang menjalankan JavaScript dari server.
• Pencurian kredensial Google dan kode autentikasi dua faktor saat login.
• Pengumpulan login admin WordPress.
• Eksfiltrasi cookie untuk pembajakan sesi secara masif.

Microsoft juga menemukan tujuh ID Google Analytics yang digunakan sebagai alat telemetri tersembunyi, memungkinkan pelaku memantau operasi secara real-time melalui infrastruktur Google sendiri.

Skala dan Infrastruktur Operasi

Operasi ini sangat terorganisir dengan lebih dari sepuluh domain C2 yang siap menggantikan satu sama lain secara otomatis. Pelaku memanfaatkan Cloudflare Workers untuk memproksi lalu lintas dan GitHub Pages untuk hosting beacon. Selain itu, StegoAd telah beradaptasi dengan perubahan platform, bermigrasi dari Manifest V2 ke Manifest V3 yang baru di Microsoft Edge.

Jumlah total pengguna yang mengunduh ekstensi-ekstensi ini diperkirakan mencapai 2,6 juta, meskipun Microsoft menegaskan bahwa angka tersebut adalah potensi maksimum, bukan jumlah korban pasti. Delay eksekusi, validasi server, dan pembatasan eksekusi pada beberapa varian membuat tidak semua pengguna terinfeksi secara aktif.

Apa yang Harus Dilakukan Pengguna?

Microsoft telah menghapus semua ekstensi berbahaya dan menangguhkan lebih dari 90 akun pengembang yang terkait. Pengguna disarankan melakukan langkah-langkah berikut:

1. Buka edge://extensions dan cocokan ekstensi yang terpasang dengan daftar ekstensi berbahaya dari laporan Microsoft.
2. Jika menemukan ekstensi yang terinfeksi atau ekstensi tersebut sudah dihapus otomatis, anggap browser sudah terpapar.
3. Segera ubah kata sandi akun penting seperti Google, WordPress, dan perbankan.
4. Periksa aktivitas login terbaru dan aktifkan autentikasi dua faktor yang kuat, terutama dengan hardware security keys yang lebih aman dibanding SMS.
5. Gunakan indikator kompromi yang telah dipublikasikan Microsoft untuk memeriksa potensi infeksi di browser Chromium lain seperti Chrome dan Firefox.

Hubungan dengan Kampanye Lain dan Ancaman Berkelanjutan

StegoAd bukanlah kampanye baru, melainkan sebuah evolusi dari kampanye malware ekstensi yang sudah dikenal. Domain utama yang terhubung ke pencurian data adalah mitarchive.info, yang juga dikaitkan dengan kelompok DarkSpectre yang beroperasi dari China.

Metode penyembunyian kode di ikon ekstensi dan nama ekstensi yang sama seperti Ads Block Ultimate mengindikasikan adanya kaitan erat dengan kampanye sebelumnya, seperti ShadyPanda dan GhostPoster. Microsoft belum mengungkap identitas pelaku, tetapi operasi ini dipastikan masih aktif hingga kini.

Analisis Redaksi

Menurut pandangan redaksi, penemuan dan penghapusan StegoAd menandakan peningkatan kecanggihan teknik malware yang memanfaatkan steganografi dalam ekosistem ekstensi browser. Ini menunjukkan bahwa ancaman siber kini semakin tersembunyi dan sulit dideteksi oleh metode tradisional. Pengguna harus lebih waspada dan tidak menganggap remeh ekstensi yang tampak biasa.

Selain itu, dampak pencurian kredensial dan backdoor eksekusi kode membuka potensi serangan lanjutan yang jauh lebih berbahaya, seperti pembajakan akun, pencurian data pribadi, dan penyebaran malware lebih luas. Sektor keamanan harus terus mengembangkan metode deteksi yang dapat mengidentifikasi ancaman tersembunyi semacam ini.

Ke depan, penting bagi pengguna untuk selalu memperbarui browser dan ekstensi mereka, serta menerapkan praktik keamanan digital yang kuat. Pemerintah dan platform penyedia ekstensi juga perlu memperketat proses verifikasi dan pengawasan agar operasi serupa dapat dicegah lebih awal.

Untuk informasi lebih lanjut, Anda dapat membaca laporan lengkap Microsoft melalui tautan asli di The Hacker News dan mengikuti update keamanan dari sumber tepercaya lainnya.