7 Ekstensi Chrome Lebih Banyak Diretas melalui Phishing Scam
Bulan lalu kami melaporkan bahwa penyiar Google Chrome, Copyfish telah terinfeksi karena pengembang tersebut membuka email phishing menggunakan kredensial akun Google-nya. Saat itu kami menganggapnya sebagai kesalahan pengembang dan menyingkirkan kemungkinan kejadian lain. Namun, kami telah terbukti salah sejak peneliti keamanan Proofpoint mengklaim bahwa setidaknya tujuh ekstensi Chrome lainnya terinfeksi.
Periset menyatakan bahwa penyerang mendapatkan kredensial Akun Google melalui penipuan phish dan berhasil mengkompromikan tujuh ekstensi yang banyak diunduh, yang telah menempatkan begitu banyak pengguna berisiko terhadap kredibilitas pencurian dan pembajakan lalu lintas.
Dalam posting blog mereka , para peneliti Proofpoint mengekspos nama-nama ekstensi Chrome yang dikompromikan:
"Kami secara khusus memeriksa komplusi perpanjangan" Web Developer 0.4.9 ", namun menemukan bukti bahwa" Chrometana 1.1.3 "," Infinity New Tab 3.12.3 "[8] [10]," CopyFish 2.8.5 "[9] , "Web Paint 1.2.1" [11], dan "Social Fixer 20.1.1" [12] dimodifikasi dengan menggunakan modus operandi yang sama oleh aktor yang sama. Kami percaya bahwa Chrome Extensions TouchVPN dan VPN Betternet juga dikompromikan dengan cara yang sama pada akhir Juni, "
Ini berarti penjahat cyber dan spammer tanpa henti mencari cara baru untuk mengarahkan lalu lintas ke program mitra mereka dan mengirim iklan berbahaya dan tidak diinginkan ke peramban korban. Serangan tersebut dicatat pada akhir Juli dan pada awal Agustus. Setelah para hacker mendapatkan kredensial pengembang, mereka dapat mempublikasikan "versi berbahaya dari ekstensi yang sah," kata periset Proofpoint.
Sama seperti metodologi yang diterapkan untuk menginfeksi ekstensi Copyfish , penjahat cyber menipu coders ekstensi untuk memberikan kredensial Akun Google, yang digunakan untuk mengakses akun pengembang Google. Akun ini ditautkan ke beberapa ekstensi Chrome; Begitu akses didirikan, para hacker memodifikasi mereka dengan kode berbahaya dan akun pengembang Google yang terganggu.
Tim peneliti Proofpoint menjelaskan bahwa ekstensi yang terinfeksi dapat menggantikan iklan di browser korban, membajak lalu lintas masuk dari jaringan iklan asli dan menipu korban dalam memperbaiki sistem komputer mereka dengan menghadirkan tanda JavaScript palsu. Situs web dewasa dipilih saat mengganti iklan sementara banyak fokus diletakkan pada jaringan iklan yang tidak disebutkan namanya.
"(The) rantai malvertising yang membawa pengguna dari peringatan palsu ke situs afiliasi; kami mengamati perluasan yang disusupi yang mengarahkan korban ke dua afiliasi semacam itu, walaupun ada juga yang telah digunakan, "ungkap pos berita Proofpoint.
Halaman arahan afiliasi "info update browser [info], Update Browser [.] Info dan searchtab [.] Menang" menggambarkan lalu lintas yang substansial; seperti 920.000 kunjungan dicatat untuk pencarian [menang] dalam sebulan. Namun, tidak jelas apakah keseluruhan lalu lintas dihasilkan melalui ekstensi Chrome yang terinfeksi atau tidak.
Pada tanggal 12 Agustus, pengembang Chris Pederick memposting sebuah tweet yang mengklaim bahwa ekstensi Pengembang Web Chrome telah disusupi dan versi hacked dari 0.4.9 ekstensi telah diunggah dan didistribusikan. Tweet inilah yang mengingatkan para peneliti Proofpoint mengenai pembajakan terbaru. Proofpoint mampu mengambil versi yang dikompromikan dan melepaskan kode berbahaya tersebut. Analisis pengkodean menunjukkan bahwa penyerang mengambil file jarak jauh yang diberi nama ga.js melalui HTTPS. Domain server dihasilkan melalui algoritma pembangkitan domain.
"Kode dari langkah pertama ini memungkinkan aktor ancaman untuk memanggil skrip tambahan bersyarat termasuk beberapa untuk memanen kredensial Cloudflare," kata periset.Viraltagar/dbs