Kampanye siber berbahaya bernama GreedyBear berhasil mencuri aset kripto senilai lebih dari $1 juta dengan memanfaatkan lebih dari 150 ekstensi browser palsu di platform Mozilla Firefox. Ekstensi-ekstensi ini menyamar sebagai dompet kripto populer seperti MetaMask, TronLink, Exodus, hingga Rabby Wallet.
Dalam laporan yang dipublikasikan oleh peneliti keamanan dari Koi Security, Tuval Admoni, terungkap bahwa GreedyBear menggunakan teknik yang disebut Extension Hollowing untuk menghindari proses review Mozilla dan mengecoh pengguna.
“Alih-alih menyisipkan kode berbahaya sejak awal, mereka membuat ekstensi yang tampak legal, lalu mengubahnya setelah review selesai. Mereka juga memalsukan ulasan positif agar terlihat kredibel di mata pengguna,” tulis Admoni dalam laporannya yang dikutip dari The Hacker News.
Setelah pengguna menginstal ekstensi tersebut, kredensial dompet kripto mereka—termasuk private key—akan dicuri dan dikirim ke server yang dikendalikan oleh pelaku. Selain itu, ekstensi juga mengumpulkan alamat IP pengguna yang diduga digunakan untuk pelacakan lanjutan.
Serangan ini merupakan kelanjutan dari kampanye sebelumnya yang dikenal dengan nama Foxy Wallet, di mana para pelaku sempat menyebarkan lebih dari 40 ekstensi berbahaya di Firefox. Namun kali ini, skalanya meningkat drastis hingga lebih dari 150 ekstensi, menandakan perluasan operasi yang cukup signifikan.
Lebih jauh, Koi Security juga mengungkap bahwa pelaku menjalankan taktik serangan lainnya secara paralel, termasuk membuat situs palsu yang mengaku sebagai “alat perbaikan dompet” untuk memancing pengguna mengungkapkan kredensial mereka. Mereka juga menyebarkan software bajakan lewat situs-situs berbahasa Rusia yang mengandung malware, termasuk info-stealer dan ransomware.
Admoni mengatakan, “Kampanye ini telah berevolusi menjadi operasi lintas platform, didukung oleh ratusan sampel malware dan infrastruktur scam yang luas.”
Tak hanya Firefox, indikasi terbaru menunjukkan bahwa GreedyBear mulai menyasar platform lain seperti Chrome. Salah satu ekstensi mencurigakan yang ditemukan di sana adalah Filecoin Wallet, yang juga menggunakan server kontrol yang sama dengan ekstensi di Firefox.
Parahnya, sebagian besar ekstensi berbahaya ini diduga dibuat menggunakan alat berbasis AI, memungkinkan pelaku untuk melancarkan serangan dalam skala besar dengan kecepatan tinggi.
Baca juga: Microsoft Hapus Semua Password di Authenticator Mulai 1 Agustus, Ini Cara Menyelamatkannya
Dengan meningkatnya serangan seperti ini, para pengguna dompet kripto diimbau untuk lebih berhati-hati dan hanya mengunduh ekstensi dari publisher resmi serta memverifikasi ulang ulasan dan reputasi ekstensi yang digunakan.
Leave a Comment