_new.jpg){kind=small}
Bisnis.com, JAKARTA — Malware berbasis browser terbaru telah terdeteksi, yang memungkinkan pelaku kejahatan siber mengeksploitasi domain terpercaya seperti Google.com untuk menembus pertahanan antivirus tradisional. Berikut cara untuk menghindarinya.
Temuan ini diungkap oleh peneliti keamanan dari c/side, yang memperingatkan bahwa teknik serangan ini sangat halus, hanya aktif dalam kondisi tertentu, dan sangat sulit dideteksi baik oleh pengguna awam maupun perangkat lunak keamanan konvensional.
Serangan ini bermula dari skrip yang disisipkan di situs e-commerce berbasis Magento yang telah dikompromikan. Skrip tersebut mengarah ke URL Google OAuth logout yang tampak sah.
Namun, URL ini telah dimanipulasi dengan parameter callback khusus yang, setelah diproses, akan menjalankan payload JavaScript berbahaya yang diobfusikasi menggunakan fungsi `eval(atob(...))`.
Penggunaan domain Google menjadi inti dari penipuan ini—karena skrip dimuat dari sumber terpercaya, sebagian besar kebijakan keamanan konten (CSP) dan filter DNS akan mengizinkannya tanpa pemeriksaan lebih lanjut.
Skrip berbahaya ini hanya aktif dalam kondisi tertentu, misalnya jika browser mendeteksi aktivitas otomatisasi atau jika URL mengandung kata “checkout.” Dalam situasi ini, skrip akan diam-diam membuka koneksi WebSocket ke server jahat, memungkinkan penyerang mengirim payload tambahan yang dikodekan dalam base64 dan dieksekusi secara dinamis di browser korban.
Dengan metode ini, penyerang bisa menjalankan kode secara real-time di sesi browser korban, menyesuaikan aksi jahat dengan perilaku pengguna.
Dilansir dari TechRadar, Senin (16/6/2025) efektivitas serangan ini sangat dipengaruhi oleh kemampuannya menghindari deteksi. Logika skrip yang diobfusikasi dan pemicuan bersyarat membuatnya hampir mustahil dideteksi oleh antivirus Android terbaik sekalipun maupun pemindai malware statis.
Payload JavaScript yang dikirim lewat alur OAuth sah tidak akan diperiksa, ditandai, atau diblokir oleh mayoritas proteksi.
Filter DNS atau firewall juga tidak efektif, karena permintaan awal menuju domain Google yang sah. Bahkan di lingkungan perusahaan, endpoint protection yang mengandalkan reputasi domain atau tidak memonitor eksekusi skrip dinamis dalam browser kemungkinan besar akan gagal mendeteksi aktivitas ini.
Bagaimana Melindungi Diri?
Adapun bagi pengguna umum, risiko tetap tinggi. Peneliti menyarankan beberapa langkah mitigasi berikut untuk menghindari serangan:
Batasi skrip pihak ketiga
Pengguna harus mulai membatasi keterlibatan pihak ketiga pada situs yang sensitif, terutama untuk transaksi keuangan. Cara menutup sebagian celah malware untuk masuk ke sistem
Pisahkan sesi browser
Untuk beberapa aktivitas penting seperti perbankan online, pengguna harus memisahkan sistem browser. Tujuannya, agar data penting seputar keuangan tidak kesedot, yang dikhawatirkan berdampak pada uang nasabah.
Waspada terhadap perilaku situs yang tidak biasa
Ketika Anda terserang, situs akan melakukan permintaan login ulang atau redirect aneh. Waspada kondisi ini.
