Ancaman serius mengintai pengguna peramban Chrome dan Edge dalam bentuk ekstensi palsu yang disebut NexShield. Ekstensi ini bukan sekadar alat pemblokir iklan biasa, melainkan bagian dari skema malware canggih yang melumpuhkan browser dan mencuri data melalui trojan ModeloRAT.
Varian terbaru serangan yang dikenal dengan nama ClickFix ini telah berevolusi menjadi ancaman nyata. Jika sebelumnya korban hanya tertipu dengan pop-up palsu yang meminta menjalankan perintah tertentu, kini serangan ini langsung menimbulkan gangguan teknis pada browser. NexShield, yang diklaim sebagai produk Raymond Hill—pembuat uBlock Origin—mematikan peramban secara tiba-tiba, memaksa pengguna melakukan restart manual lewat Task Manager.
Cara Kerja NexShield dan Serangan Denial-of-Service
Ekstensi NexShield awalnya terlihat seperti add-on pemblokir iklan yang sah dan hanya mulai menunjukkan perilaku jahatnya sekitar satu jam setelah instalasi. Setelah browser lumpuh, NexShield memunculkan pesan kesalahan yang menyesatkan, lalu menawarkan solusi yang melibatkan pemakaian perintah Windows Command Prompt. Modus operandi ini mirip dengan skema ClickFix sebelumnya, namun kini lebih berbahaya karena menyebabkan gangguan sistem nyata.
Langkah-langkah serangan yang dilakukan lewat NexShield dapat diuraikan sebagai berikut:
- Pengguna menginstal ekstensi NexShield yang tampak resmi.
- Setelah satu jam, ekstensi mengaktifkan serangan denial-of-service pada browser.
- Browser menjadi tidak responsif dan harus di-restart menggunakan Task Manager.
- Setelah restart, muncul pesan kesalahan palsu yang meminta pengguna menjalankan perintah di Command Prompt.
- Perintah tersebut mengunduh dan memasang ModeloRAT, sebuah Remote Access Trojan (RAT).
ModeloRAT: Trojan dengan Akses Penuh ke Perangkat Korban
ModeloRAT adalah malware yang sangat berbahaya karena memberikan kontrol penuh kepada peretas atas perangkat korban. Begitu trojan ini terpasang, peretas dapat mengambil alih, mengakses data sensitif, dan melakukan berbagai aktivitas lain tanpa sepengetahuan pengguna. Hal ini memungkinkan pencurian informasi pribadi maupun data penting di lingkungan korporat.
Peneliti keamanan dari Huntress yang pertama kali mengidentifikasi serangan ini pada akhir Januari mengungkap bahwa KongTuke, aktor ancaman di balik NexShield, menargetkan terutama pengguna korporat. Namun, peringatan juga dikeluarkan bahwa dalam waktu dekat, skala serangan bisa meluas ke pengguna individu, sehingga risiko menjadi lebih besar untuk semua kalangan.
Bahaya Pengunduhan dan Manajemen Ekstensi Asal-asalan
Serangan NexShield mengingatkan kembali pentingnya kehati-hatian dalam mengelola ekstensi peramban. Pengguna sebaiknya selalu mendapatkan ekstensi dari sumber resmi dan melakukan verifikasi kepastian reputasi pengembang. Ekstensi palsu yang menyerupai produk populer, seperti yang mengklaim berasal dari pembuat uBlock Origin, bisa saja memanfaatkan nama besar untuk menipu korban.
Berikut tips singkat untuk menghindari ancaman serupa:
- Cek ulasan dan rating ekstensi di toko resmi Google Chrome atau Edge.
- Hindari mengunduh ekstensi dari sumber tidak dikenal atau link mencurigakan.
- Aktifkan fitur keamanan browser yang memeriksa ekstensi terpasang secara rutin.
- Perbarui browser dan antivirus secara berkala untuk mendapatkan perlindungan terbaru.
- Jangan mengeksekusi perintah yang tidak jelas asal-usulnya, terutama yang diminta lewat pop-up.
Penting bagi pengguna teknologi untuk tidak lengah di tengah maraknya serangan siber dengan metode yang semakin canggih. Penyebaran malware lewat ekstensi browser seperti NexShield menunjukkan bahwa penjahat siber terus berinovasi untuk mengeksploitasi kepercayaan pengguna. Melindungi data dan perangkat dimulai dari kebiasaan yang waspada dan disiplin dalam mengelola keamanan digital sehari-hari.
