Malware yang Pintas Keamanan Google Chrome

Malware yang Pintas Keamanan Google Chrome – Peramban web atau browser kini telah menjadi target utama serangan siber. Masif penggunaan faktornya.

Hal ini wajar mengingat pergeseran alur kerja perusahaan ke aplikasi berbasis web, yang menjadikan peramban sebagai repositori besar bagi token autentikasi, kredensial, informasi keuangan, dan berbagai data sensitif lainnya.

Laporan terbaru menyoroti kemunculan VoidStealer, sebuah Trojan pencuri informasi (infostealer) yang berhasil menemukan cara untuk mem bypass fitur keamanan terbaru Google Chrome.

Fitur yang menjadi sasaran adalah App-Bound Encryption (ABE). Fitur ini diperkenalkan oleh Google pada Juli 2024 untuk melindungi cookie sesi dan data sensitif lainnya dari serangan infostealer.

Namun, keberhasilan VoidStealer membuktikan bahwa benteng pertahanan digital yang paling mutakhir sekalipun tetap memiliki celah yang dapat dieksploitasi oleh aktor ancaman yang gigih.

Memahami App-Bound Encryption (ABE)

Sebelum adanya ABE, sistem Windows mengandalkan Data Protection API (DPAPI) untuk melindungi data tersimpan seperti cookie dan kata sandi. Masalah utama DPAPI adalah ia melindungi data berdasarkan identitas pengguna.

Artinya, aplikasi jahat apa pun yang berjalan di bawah identitas pengguna yang sah dapat mengakses dan mendekripsi data tersebut seolah-olah ia adalah pengguna aslinya.

Google memperkenalkan ABE untuk memperbaiki kelemahan ini. ABE dirancang agar hanya aplikasi Chrome itu sendiri yang dapat mendekripsi data yang tersimpan, bukan sembarang proses yang berjalan sebagai pengguna.

Secara teoritis, seorang peretas harus meningkatkan hak istimewa mereka ke level sistem atau menyuntikkan kode berbahaya langsung ke dalam proses Chrome untuk mengakses data tersebut.

Namun, dalam praktiknya, para peneliti dan pembuat malware telah menemukan cara untuk menembus perlindungan ini hampir seketika setelah fitur tersebut diterapkan.

Nama-nama besar di dunia infostealer seperti Meduza Stealer, Whitesnake, Lumma Stealer, dan Lumar semuanya tercatat tetap berhasil memanen data cookie meskipun ABE telah aktif.

Mengeksploitasi Memori

Berbeda dengan teknik bypass ABE sebelumnya yang mungkin menggunakan metode process hollowing atau panggilan sistem langsung, VoidStealer menggunakan taktik yang lebih cerdik dan spesifik.

Peneliti mencatat bahwa malware ini menargetkan momen krusial saat Chrome perlu mendekripsi data untuk masuk ke situs web atau mengakses kredensial tersimpan.

Pada saat proses dekripsi tersebut terjadi, Chrome memaparkan kunci utama (master key) dalam bentuk teks biasa (plaintext) di dalam memori peramban.

VoidStealer memanfaatkan jendela peluang yang sangat singkat ini dengan cara:

• Melampirkan diri sebagai Debugger: Malware menempel pada proses peramban menggunakan mekanisme debugger, sebuah alat yang biasanya digunakan pengembang untuk memecahkan masalah kode.
• Identifikasi Titik Dekripsi: VoidStealer mengidentifikasi titik tepat dalam eksekusi peramban di mana dekripsi terjadi.
• Jeda Proses (Pause): Pada detik kunci tersebut, malware menghentikan sementara (pause) proses peramban.
• Ekstraksi Kunci: Saat proses dijeda, penyerang mengekstraksi kunci enkripsi langsung dari memori. Dengan kunci ini, semua perlindungan ABE menjadi tidak berarti karena penyerang kini memiliki “kunci master” untuk membuka semua data terenkripsi.

Ancaman Lintas Peramban Berbasis Chromium

Penting untuk diingat bahwa kerentanan ini tidak terbatas pada Google Chrome saja. Karena ABE adalah fitur yang terintegrasi dalam proyek Chromium, peramban lain yang menggunakan basis kode yang sama juga terdampak. Ini mencakup:

• Microsoft Edge.
• Opera.
• Vivaldi.
• Hingga Brave.

Bagi organisasi yang mengizinkan penggunaan berbagai jenis peramban di lingkungan kerja mereka, fenomena VoidStealer ini merupakan alarm keras.

Serangan ini membuktikan bahwa strategi keamanan yang hanya mengandalkan fitur bawaan sistem operasi atau peramban tidak lagi mencukupi untuk menghadapi malware modern yang mampu beroperasi di level memori.

Konteks Serangan Infostealer Modern

Untuk memperkaya pemahaman kita, perlu dicatat bahwa teknik yang digunakan VoidStealer sejalan dengan tren “serangan tanpa file” (fileless attacks).

Menurut data dari peneliti keamanan lainnya, serangan yang beroperasi langsung di memori menjadi lebih populer karena sulit dideteksi oleh perangkat lunak antivirus tradisional yang biasanya hanya memindai file fisik di dalam disk.

Selain itu, laporan dari peneliti di sektor keamanan identitas menunjukkan bahwa pencurian cookie sesi kini menjadi lebih berharga bagi peretas daripada sekadar mencuri kata sandi.

Dengan cookie sesi yang aktif, penyerang dapat mem-bypass autentikasi dua faktor (MFA) karena peramban menganggap pengguna sudah dalam status login yang sah. Teknik ini sering disebut sebagai serangan Session Hijacking atau Pass-the-Cookie.

Panduan Mitigasi 

Melihat agresifitas VoidStealer dalam mengeksploitasi memori peramban, organisasi dan individu perlu memperketat kebijakan keamanan mereka. Berikut adalah beberapa langkah mitigasi yang direkomendasikan:

1. Karena infostealer seperti VoidStealer sering kali menggunakan teknik fileless, penggunaan solusi Endpoint Detection and Response (EDR) sangat krusial. Alat ini mampu memantau perilaku anomali di memori, seperti proses asing yang mencoba melampirkan diri sebagai debugger ke peramban.
2. Sebagian besar serangan infostealer membutuhkan tingkat akses tertentu untuk menjalankan aksinya. Menerapkan prinsip Least Privilege (hak istimewa minimum) dapat membatasi kemampuan malware untuk berinteraksi dengan proses sistem yang sensitif.
3. Pertimbangkan untuk beralih ke metode autentikasi yang lebih kuat seperti FIDO2 atau kunci keamanan fisik. Metode ini lebih tahan terhadap pencurian cookie karena kunci privat tetap berada di perangkat keras dan tidak tersimpan di dalam memori peramban yang mudah diakses malware.
4. Dorong pengguna untuk rutin membersihkan cache dan cookie peramban, atau atur kebijakan agar cookie sesi kedaluwarsa dalam waktu yang lebih singkat. Hal ini akan memperpendek jendela waktu yang bisa dimanfaatkan peretas jika mereka berhasil mencuri cookie tersebut.
5. VoidStealer dan varian serupa sering kali masuk melalui ekstensi peramban yang terlihat sah namun mengandung kode berbahaya. Batasi instalasi ekstensi hanya dari sumber yang terverifikasi dan lakukan audit berkala terhadap izin yang diminta oleh ekstensi tersebut.
6. Peneliti menyarankan agar tim keamanan TI mulai memantau penggunaan API Windows yang sering disalahgunakan oleh infostealer, seperti ReadProcessMemory atau fungsi-fungsi yang terkait dengan debugging aplikasi secara tidak wajar.

Konklusi

Kasus VoidStealer menegaskan kembali bahwa keamanan peramban adalah permainan kucing dan tikus yang abadi.

Meskipun Google telah berusaha keras dengan memperkenalkan App-Bound Encryption, kreativitas pengembang malware dalam mengeksploitasi celah di tingkat memori tetap menjadi ancaman serius.

Keamanan di tahun 2026 menuntut pendekatan yang lebih proaktif, di mana kita tidak hanya melindungi data yang tersimpan, tetapi juga harus mampu mendeteksi aktivitas mencurigakan yang terjadi secara real-time di dalam memori sistem.

Dengan memahami taktik seperti yang digunakan VoidStealer, diharapkan tim pertahanan siber dapat membangun lapisan keamanan yang lebih resilien di masa depan.

Sumber berita: 

Prosperita IT News