tinomaria.com JAKARTA — Ancaman siber semakin canggih. Peneliti keamanan dari c/side baru-baru ini mengungkap malware berbasis browser yang memanfaatkan domain terpercaya seperti Google.com untuk menghindari deteksi antivirus konvensional. Serangan ini sangat halus dan hanya aktif dalam kondisi tertentu, membuatnya sulit dideteksi oleh pengguna awam maupun perangkat lunak keamanan standar.
Malware ini diselipkan dalam skrip pada situs e-commerce berbasis Magento yang telah diretas. Skrip tersebut mengarahkan pengguna ke URL Google OAuth logout yang tampak sah. Namun, URL ini telah dimanipulasi dengan parameter callback khusus. Setelah diproses, parameter ini menjalankan payload JavaScript berbahaya yang diobfuskasi menggunakan fungsi `eval(atob(…))`.
Kelicikan serangan ini terletak pada penggunaan domain Google. Karena skrip dimuat dari sumber yang dipercaya, sebagian besar kebijakan keamanan konten (CSP) dan filter DNS akan mengizinkannya tanpa pemeriksaan lebih lanjut. Ini merupakan teknik penyamaran yang efektif untuk menghindari sistem keamanan.
Lebih lanjut, skrip berbahaya ini hanya aktif secara kondisional. Aktivasi terjadi jika browser mendeteksi aktivitas otomatisasi atau jika URL mengandung kata “checkout”. Dalam kondisi ini, skrip secara diam-diam membuka koneksi WebSocket ke server jahat. Penyerang kemudian dapat mengirim payload tambahan yang dikodekan dalam base64 dan dieksekusi secara dinamis di browser korban.
Metode ini memungkinkan penyerang menjalankan kode secara real-time di sesi browser korban, menyesuaikan serangan sesuai dengan perilaku pengguna. Hal ini menjadikan serangan ini sangat berbahaya dan sulit dilacak. Dilansir dari TechRadar, Senin (16/6/2025), efektivitas serangan ini terletak pada kemampuannya menghindari deteksi. Logika skrip yang diobfuskasi dan pemicuan bersyarat membuatnya hampir mustahil dideteksi oleh antivirus Android terbaik sekalipun atau pemindai malware statis. Payload JavaScript yang dikirim melalui alur OAuth yang sah tidak akan diperiksa, ditandai, atau diblokir oleh mayoritas sistem proteksi. Bahkan filter DNS atau firewall tidak efektif karena permintaan awal menuju domain Google yang sah. Sistem endpoint protection di lingkungan perusahaan sekalipun, yang mengandalkan reputasi domain atau tidak memonitor eksekusi skrip dinamis dalam browser, kemungkinan besar akan gagal mendeteksi aktivitas ini.
Bagaimana Melindungi Diri?
Risiko serangan ini tetap tinggi bagi pengguna umum. Untuk meminimalisir risiko, peneliti menyarankan beberapa langkah mitigasi:
Batasi skrip pihak ketiga: Membatasi keterlibatan pihak ketiga pada situs yang sensitif, terutama untuk transaksi keuangan, dapat membantu menutup beberapa celah keamanan.
Pisahkan sesi browser: Untuk aktivitas penting seperti perbankan online, gunakan browser terpisah untuk melindungi data keuangan Anda.
Waspada terhadap perilaku situs yang tidak biasa: Perhatikan permintaan login ulang atau pengalihan (redirect) yang tidak biasa. Hal ini bisa menjadi indikasi serangan.
