Sudah ada sekitar 49 Ekstensi Google yang telah dihapus dari web store. Hampir seluruh ekstensi tersebut menggunakan modus phissing yang mirip layanan aplikasi dari wallet cryptocurrency resmi. Padahal di dalam ekstensi tersebut sudah ditanam script khusus bisa mencuri private key dari wallet cryptocurrency bersangkutan.
Beberapa modus phissing melalui ekstensi google itu sudah menyusur beberapa varian wallet kripto popular seperti Trezor, Electrum, MyEtherWallet, Ledger Wallet, KeepKey, Exodus, MetaMask, dan lain-lainnya. Pengguna bisa saja tidak menyadari bahwa private key itu ternyata sudah dicuri oleh penyerang.
Informasi itu berawal dari temuan Harry Denly yang diposting melalui Medium hari ini (15/4/2020). Berdasarkan pengamatan Denly, modus melalui 49 ekstensi Google itu mungkin dibuat oleh satu orang atau komplotan yang sama.
Melihat dari contoh phissing ditas, pola yang digunakan juga sama persis di sebagian besar ekstensi google yang berpotensi sama. Hampir seluruh upaya phissing tersebut memang cukup mirip dengan aslinya. Menurut Denly, kemungkinan besar berasal dari Rusia.
Proses pencurian private key melalui modus itu disebut tidak akan berlangsung dengan mencuri aset kripto. Meski demikian, Denley sendiri sempat memperhatikan saat penyerang berupaya melakukan pencurian aset tersebut.
Hal tersebut berawal dari laporan yang pernah diposting di halaman Support Google 4 hari sebelumnya. Pada posting itu menyebutkan bahwa dari ada salah satu ekstensi google yang berupaya mengarahkan pada halaman MyEhterWallet fiktif.
Namun pengguna saat itu sudah terlambat lantaran seluruh aset sudah ditransfer ke address lain tanpa diketahui sebelumnya. Terlebih lagi, penyerang dalam modusnya bahkan berani untuk menggunakan layanan jaringan iklan Google.
Dari ekstensi Google fiktif itu, Danley berupaya melakukan tracing melalui Command & Control Server (C2s). Command and Control Server ini adalah server perintah dan kontrol untuk perangkat yang telah terindikasi terinfeksi malware. Hasilnya, scrypt yang ditanam itu kebanyakan disimpan di beberapa domain seperti analytics-server296.xyz, coinomibeta.online, completssl.com dan yang lain.
Tambahan lagi, bahwa keseluruhan domain itu juga masih baru diregistrasikan. Menurut Danley, 80% domain itu baru diregistrasikan sekitar bulan Maret sampai April 2020. Sementara dari salah satu email yang digunakan adalah berakhiran .ru. Mungkin dari situlah asumsi Danley menyebut kemungkinan besarnya dari Rusia.