Berlangganan buletin kami
- Koi Security mengungkap kampanye malware yang membajak 500.000+ akun VKontakte melalui ekstensi Chrome
- Add-on membuat korban berlangganan otomatis ke grup VK penyerang (1,4 juta anggota), memanipulasi token CSRF, memasukkan iklan, dan mencuri data pembayaran
- Kampanye yang berlangsung sejak pertengahan tahun 2025, dikelola oleh aktor ancaman “2vk”, yang utamanya menargetkan pengguna berbahasa Rusia
Lebih dari setengah juta akun VKontakte dibajak di a perangkat lunak perusak kampanye yang bermula pada Google Toko Web Chrome.
Kampanye tersebut ditemukan oleh peneliti dari Koi Security dan mencakup lima kampanye ekstensi diiklankan sebagai penyempurnaan platform.
Secara kumulatif, add-on tersebut dipasang lebih dari 500.000 kali dan setelah ditemukan, setidaknya satu telah dihapus dari Toko Web Chrome. Koi mengatakan semuanya dikelola oleh satu pelaku ancaman dengan GitHub alias “2vk”.
Apa untungnya bagi penyerang?
VKontakte pada dasarnya adalah “Facebook Rusia”. Ini adalah jejaring sosial yang sangat mirip dengan Facebook dan memiliki sekitar 650 juta pengguna.
Saat mencari kode iklan Yandex, para peneliti menemukan lima ekstensi yang, di permukaan, dapat mengubah tema platform sosial dan meningkatkan pengalaman pengguna.
Namun, di latar belakang, malware tersebut secara otomatis mendaftarkan pengguna ke grup VK milik penyerang (sekarang berjumlah 1,4 juta anggota), mengatur ulang pengaturan akun setiap 30 hari untuk mengesampingkan preferensi pengguna, memanipulasi token CSRF untuk melewati perlindungan keamanan VK, melacak status donasi ke fitur gerbang dan memonetisasi korban, dan mempertahankan kontrol terus-menerus melalui injeksi kode multi-tahap.
Ada banyak manfaat memiliki 1,4 juta orang dalam grup yang sama, dan memiliki akses ke cookie CSRF serta informasi pembayaran mereka. Sebagai permulaan, mereka meningkatkan legitimasi yang dirasakan dari add-on tersebut, dan dapat menayangkan iklan dan lebih banyak malware. Salah satu ekstensinya adalah memasukkan skrip iklan Yandex ke setiap halaman yang dibuka pengguna, sehingga memberikan keuntungan finansial langsung bagi penyerang.
Selain itu, dengan memanipulasi cookie CSRF (Pemalsuan Permintaan Lintas Situs), peretas dapat melakukan tindakan sebagai korban, tanpa memerlukan kata sandi. Mereka dapat mengirim pesan, mengakses data pribadi, atau bahkan mengubah email pemulihan Anda.
Terakhir, malware tersebut menyertakan sistem untuk melacak “donasi” untuk “fitur premium”. Add-on ini gratis, tetapi hadir dengan versi “pro” berbayar. Dengan begitu, korban akan kehilangan informasi kartu kreditnya, namun tetap disusupi.
Kampanye tersebut kemungkinan besar dimulai pada pertengahan tahun 2025 dan masih berlangsung hingga saat ini. Sasaran utamanya adalah pengguna berbahasa Rusia, meskipun korbannya juga ditemukan di Eropa Timur, Asia Tengah, dan negara lain.
Melalui Catatan
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
