Daftar Masuk Dashboard

Peringatan Ancaman

Kampanye Malware PURELOGS Menyusup Lewat Ekstensi Browser Palsu
Peringatan Ancaman Pengarang : MR 22 Jan 2026 11:29

Sebuah kampanye malware baru bernama PURELOGS telah terdeteksi menyusup ke sistem pengguna melalui ekstensi browser yang dibuat menyerupai ekstensi resmi seperti Grammarly dan Microsoft Editor. Ekstensi palsu ini didistribusikan melalui repositori ekstensi pihak ketiga dan situs web phishing, menargetkan pengguna yang mencari alat produktivitas gratis. Setelah terinstal, ekstensi ini mampu mencuri data sensitif seperti cookie sesi, kata sandi, dan riwayat penjelajahan, serta memungkinkan akses jarak jauh ke perangkat korban.

 

Serangan ini mengeksploitasi kepercayaan pengguna terhadap ekstensi populer, dengan tampilan antarmuka dan deskripsi yang hampir identik dengan versi aslinya. Analisis lebih lanjut menunjukkan bahwa malware ini memiliki kemampuan untuk berkomunikasi dengan command-and-control (C2) server, mengunduh payload tambahan, dan mempertahankan persistensi pada sistem.

 

Bagaimana Modus Serangannya?

  • Pelaku menyebarkan ekstensi browser palsu melalui situs web phishing dan repositori ekstensi tidak resmi.
  • - Ekstensi tersebut mengandung skrip berbahaya yang dijalankan saat pengguna mengakses situs web tertentu.
  • - Setelah terinstal, malware meminta izin yang tampak normal (seperti akses ke data situs) tetapi digunakan untuk mencuri informasi.
  • - Malware mengumpulkan data sensitif dari browser, termasuk cookie autentikasi, kata sandi tersimpan, dan riwayat penelusuran.
  • - Data yang dicuri dikirim ke server C2 milik penyerang melalui koneksi terenkripsi.
  • - Malware dapat mengunduh dan menjalankan payload tambahan untuk eksploitasi lebih lanjut.
  • - Ekstensi memasang entri registri atau file startup untuk memastikan persistensi saat perangkat dinyalakan ulang.

Mengapa Sulit Dibedakan dari yang Asli?

  • Nama dan ikon ekstensi sangat mirip dengan versi resmi, menggunakan typo yang hampir tidak terlihat (misalnya “Grammerly” atau “MS Editor Pro”).
  • - Deskripsi dan ulasan di situs pihak ketiga dibuat menyerupai ekstensi asli, termasuk ulasan palsu yang positif.
  • - Ekstensi menggunakan domain yang menyerupai domain asli (typosquatting), seperti “grammarly-ext[.]com”.
  • - Tampilan antarmuka pengguna (UI) meniru fungsi asli untuk memberikan ilusi keaslian.
  • - Beberapa ekstensi bahkan tetap memberikan fungsionalitas dasar agar pengguna tidak curiga.

Tujuan dan Teknik yang Digunakan

  • Tujuan utama: Pencurian data sensitif dan akses persisten ke sistem korban untuk eksploitasi jangka panjang.
  • - Data yang ditargetkan: Cookie sesi, kredensial login, riwayat penjelajahan, dan informasi pribadi.
  • - Teknik MITRE ATT&CK:
  •   - T1112: Modify Registry (untuk persistensi)
  •   - T1538: Log Storage (menyimpan data hasil pencurian secara lokal)
  •   - T1071.001: Application Layer Protocol: Web Protocols (komunikasi C2 via HTTPS)
  •   - T1555: Credentials from Web Browsers
  •   - T1213.002: Phishing: Spear Phishing via Service (distribusi melalui layanan ekstensi)
  • - Malware menggunakan teknik obfuscation pada kode JavaScript untuk menghindari deteksi oleh alat keamanan.
  • - Komunikasi C2 menggunakan enkripsi end-to-end dan teknik domain generation algorithm (DGA) untuk menghindari pemblokiran.

Rekomendasi untuk Pengguna dan Organisasi

  • Hanya instal ekstensi browser dari toko resmi seperti Chrome Web Store atau Microsoft Edge Add-ons, dan pastikan publisher resmi.
  • - Periksa ulang izin yang diminta ekstensi sebelum menginstalnya; hindari yang meminta akses berlebihan.
  • - Nonaktifkan atau hapus ekstensi browser yang tidak digunakan secara rutin.
  • - Terapkan kebijakan pembatasan ekstensi di lingkungan perusahaan menggunakan manajemen perangkat (MDM/UEM).
  • - Gunakan solusi keamanan endpoint yang dapat mendeteksi aktivitas ekstensi mencurigakan.
  • - Lakukan pelatihan kesadaran keamanan bagi pengguna terkait risiko ekstensi pihak ketiga.
  • - Perbarui browser secara berkala untuk mendapatkan patch keamanan terbaru.
  • - Pantau lalu lintas jaringan untuk koneksi mencurigakan ke domain tidak dikenal atau terenkripsi tanpa identitas jelas.

Kampanye PURELOGS menunjukkan evolusi ancaman yang memanfaatkan kepercayaan terhadap alat produktivitas populer. Dengan teknik social engineering dan teknis yang canggih, malware ini mampu menghindari deteksi dan mencuri data penting secara diam-diam. Kewaspadaan pengguna dan penerapan kontrol keamanan yang ketat sangat penting untuk mencegah infiltrasi.

 

Sumber referensi:

https://www.trendmicro.com/en_us/research/26/e/purelogs-malware-campaign-distributes-fake-browser-extensions.html

Bagikan
Kembali ke list
Berita Lainnya

MR 22 Jan 2026 11:59

Peringatan Ancaman: Kerentanan SSRF pada WeasyPrint Membuka Pintu Akses ke Sistem Internal

Selengkapnya

MR 01 Jan 1970 10:08

Waspada! Malware Plague Ancaman Baru Backdoor Linux yang Memanfaatkan PAM

Selengkapnya

MR 21 Jan 2026 15:13

Peringatan Ancaman: Kerentanan Orval Core Membahayakan Sistem Keamanan

Selengkapnya
Logo

KOMDIGI-CSIRT

Cyber Security Incident Response Team
HEADQUARTERS

Jl. Medan Merdeka Barat No. 9, Jakarta Pusat 10110

NAVIGATIONS
Informasi Kerentanan Informasi Tahunan Agenda FAQ Hubungi Kami
SERVICES
Main Services Other Services
CONNECT
Email Us csirt@komdigi.go.id
Call Us 0851-5000-2021
© 2026 KOMDIGI CSIRT. All Rights Reserved.
Privacy Policy Terms of Use