MR • 19 Agt 2025 08:26
Google Chrome Rilis Pembaruan Keamanan Kritis Atasi Kerentanan Berbahaya Selengkapnya
ShadyPanda: Spyware Curi Data 4,3 Juta Pengguna Lewat Ekstensi Browser Palsu yang Dipercaya
Peringatan Ancaman
•
Pengarang :
MR
•
05 Des 2025 09:57
Kampanye malware ShadyPanda menjadi salah satu serangan terbesar dan terlama yang menargetkan ekstensi browser. Selama bertahun-tahun, pelaku menyebarkan lebih dari 100 ekstensi palsu di toko browser resmi Chrome Web Store, Firefox Add-ons, dan Edge Add-ons. Ekstensi ini menyamar sebagai alat produktivitas, wallpaper, dan utilitas yang tampak aman, sehingga mengumpulkan 4,3 juta instalasi global.
Strategi Licik ShadyPanda
Ekstensi awalnya berperilaku normal untuk membangun kepercayaan:
Mendapat rating bagus dan review positif palsu
Dianggap aman oleh platform browser resmi
Menawarkan fitur berguna seperti enhancer belanja atau wallpaper
Setelah dipercaya banyak pengguna, pelaku mengirim update berbahaya secara diam-diam yang mengubah ekstensi jadi spyware lengkap dengan kemampuan backdoor.
Evolusi dari Monetisasi ke Spyware Penuh
Tahap 1 - Monetisasi Pasif: Menyuntikkan tracker afiliasi ke aktivitas belanja online tanpa mengubah tampilan browser.
Tahap 2 - Pencurian Data: Mulai mencuri browsing history, session token, cookie, input pencarian, log interaksi web, dan fingerprint perangkat.
Tahap 3 - Kontrol Penuh: Update terbaru menambahkan remote code execution dalam browser, memungkinkan:
Intersepsi koneksi aman (HTTPS)
Modifikasi konten halaman
Session hijacking
Eksekusi script tambahan dengan hak istimewa tinggi
Ekstensi juga punya anti-debug yang menonaktifkan perilaku mencurigakan saat terdeteksi analisis.
Dampak bagi 4,3 Juta Pengguna
Spyware ini mencuri data sensitif tanpa interaksi pengguna:
Kredensial browser dan session cookies untuk login takeover
Riwayat browsing dan pola perilaku
Data finansial dari aktivitas belanja
Fingerprint perangkat untuk pelacakan lintas situs
Karena berasal dari toko resmi, pengguna tidak curiga dan malware bertahan bertahun-tahun.
Teknik Taktik (MITRE ATT&CK)
| Taktik | Teknik ID | Deskripsi |
|---|---|---|
| Initial Access | T1195.002 | Compromise Software Supply Chain (ekstensi browser resmi) |
| Privilege Escalation | T1068 | Exploitation for Privilege Escalation |
| Credential Access | T1555.003 | Credentials from Web Browsers T1539 Steal Web Session Cookies |
| Collection | T1113 Screen Capture T1056.001 Keylogging | - |
| Command & Control | T1005 Data from Local System T1105 Ingress Tool Transfer | - |
Rekomendasi Keamanan
Untuk Pengguna Individu:
Audit ekstensi: Hapus yang tidak dipakai atau meminta permission berlebihan
Review permission: Tolak akses ke "all data on websites"
Gunakan browser profile terpisah untuk kerja vs pribadi
Update browser dan ekstensi secara rutin
Untuk Organisasi:
text
✅ Blokir ekstensi tidak resmi via Group Policy/Intune ✅ Terapkan Extension Content Security Policy (CSP) ✅ Monitor perilaku ekstensi via EDR/Endpoint Detection ✅ Edukasi karyawan tentang risiko ekstensi "aman"
Status Pemantauan:
Tidak ada IoC ShadyPanda yang cocok dengan endpoint pelanggan saat ini.
Pelajaran Penting
Kasus ShadyPanda membuktikan to ko ekstensi resmi bukan jaminan aman. Persetujuan awal tidak menjamin update selanjutnya aman. Browser perlu monitoring berkelanjutan pada perilaku ekstensi, bukan hanya review sekali.
Sumber:
SecurityOnline.info: "ShadyPanda Spyware Hacked 4.3 Million Users by Weaponizing Trusted Browser Extensions via Auto-Updates"
https://securityonline.info/shadypanda-spyware-hacked-4-3-million-users-by-weaponizing-trusted-browser-extensions-via-auto-updates/
Waspadai ekstensi browser - periksa permission dan hapus yang tidak perlu sekarang juga!
Bagikan
Berita Lainnya
MR • 02 Jan 2026 10:43
Kerentanan Kritis di SmarterMail Membuka Jalan Pengambilalihan Server Tanpa Login Selengkapnya