Browser

Ekstensi Chrome Berbahaya dengan 75 juta Pemasangan Dihapus dari Toko Web

June 6, 2023 by Mally

Google telah menghapus 32 ekstensi berbahaya dari Toko Web Chrome yang dapat mengubah hasil penelusuran dan mendorong spam atau iklan yang tidak diinginkan. Secara kolektif, mereka datang dengan jumlah unduhan 75 juta.

Peneliti Cybersecurity Wladimir Palant menganalisis ekstensi PDF Toolbox dengan 2 juta unduhan yang tersedia dari Toko Web Chrome, ditemukan menyertakan kode yang disamarkan sebagai pembungkus API ekstensi yang sah.

Menurut peneliti, kode tersebut memungkinkan domain “serasearchtop[.]com” menyuntikkan kode JavaScript arbitrer ke situs web manapun yang dikunjungi pengguna. Kode juga di set untuk aktif 24 jam setelah memasang ekstensi, perilaku yang biasanya dikaitkan dengan niat jahat.

Potensi penyalahgunaan berkisar dari menyisipkan iklan ke halaman web hingga mencuri informasi sensitif. Namun, Palant tidak mengamati adanya aktivitas berbahaya, sehingga tujuan kode tersebut tetap tidak jelas.

Palant menerbitkan postingan tindak lanjut tentang kasus tersebut untuk memperingatkan bahwa dia telah menemukan kode mencurigakan yang sama di 18 ekstensi Chrome lainnya dengan jumlah unduhan total 55 juta.

Berikut beberapa contohnya dengan pengguna aktif mulai dari 3,5 – 9 juta pengguna, antara lain Autoskip, Soundboost, Crystal Ad block, Brisk VPN, Clipboard Helper, dan Maxi Refresher.

Saat Palant menerbitkan posting kedua, semua ekstensi masih tersedia di Toko Web Chrome. Dirinya menemukan dua varian kode yang menampilkan mekanisme injeksi kode JS arbitrer yang sama yang melibatkan serasearchtop[.]com.

Ada banyak laporan dan ulasan pengguna di Toko Web yang menunjukkan bahwa ekstensi melakukan pengalihan dan pembajakan hasil pencarian.

Terlepas dari upayanya untuk melaporkan ekstensi yang mencurigakan ke Google, ekstensi tersebut terus tersedia untuk pengguna dari Toko Web Chrom.

Sebelumnya, perusahaan cybersecurity Avast, melaporkan ekstensi ke Google setelah mengkonfirmasi sifat berbahaya mereka, dan memperluas daftar menjadi 32 entri. Secara kolektif, ini membual 75 juta pemasangan.

Mereka adalah adware yang membajak hasil pencarian untuk menampilkan tautan sponsor dan hasil berbayar, terkadang bahkan menyajikan tautan berbahaya.

Menanggapi hal tersebut, juru bicara Google mengatakan bahwa ekstensi yang dilaporkan telah dihapus dari Toko Web Chrome.

Avast menyoroti dampak signifikan dari ekstensi tersebut. Untuk pelanggannya, Avast secara selektif hanya menetralkan elemen jahat di dalam ekstensi, membiarkan fitur yang sah terus beroperasi tanpa gangguan.

Selengkapnya: BleepingComputer

Situs Hacked Ketahuan Menyebarkan Malware Melalui Pembaruan Chrome Palsu

April 13, 2023 by Mally

Serangan dimulai dengan mengkompromikan situs web untuk menyuntikkan kode JavaScript berbahaya yang mengeksekusi skrip saat pengguna mengunjunginya. Skrip ini akan mengunduh skrip tambahan berdasarkan apakah pengunjung adalah audiens yang ditargetkan.

Skrip berbahaya ini dikirim melalui layanan Pinata IPFS (InterPlanetary File System), yang menyamarkan server asal yang menghosting file, membuat daftar blokir tidak efektif dan menolak penghapusan.

Jika pengunjung yang ditargetkan menjelajahi situs, skrip akan menampilkan layar kesalahan Google Chrome palsu yang menyatakan bahwa pembaruan otomatis yang diperlukan untuk melanjutkan penjelajahan situs gagal dipasang.

“Terjadi kesalahan pada pembaruan otomatis Chrome. Silakan instal paket pembaruan secara manual nanti, atau tunggu pembaruan otomatis berikutnya,” bunyi pesan kesalahan Chrome palsu.

Skrip kemudian akan secara otomatis mengunduh file ZIP yang disebut ‘release.zip’ yang disamarkan sebagai pembaruan Chrome yang harus dipasang pengguna.

JavaScript yang mengaktifkan drop ZIP (NTT)

Namun, file ZIP ini berisi penambang Monero yang akan memanfaatkan sumber daya CPU perangkat untuk menambang mata uang kripto untuk para pelaku ancaman.

Saat diluncurkan, malware menyalin dirinya sendiri ke C:\Program Files\Google\Chrome sebagai “updater.exe” dan kemudian meluncurkan executable yang sah untuk melakukan injeksi proses dan dijalankan langsung dari memori.

Menurut VirusTotal, malware menggunakan teknik “BYOVD” (bawa driver rentan Anda sendiri) untuk mengeksploitasi kerentanan di WinRing0x64.sys yang sah untuk mendapatkan hak istimewa SISTEM pada perangkat.

Sementara beberapa situs web yang telah dirusak adalah bahasa Jepang, NTT memperingatkan bahwa penyertaan bahasa tambahan baru-baru ini dapat mengindikasikan bahwa pelaku ancaman berencana untuk memperluas cakupan penargetan mereka, sehingga dampak kampanye dapat segera menjadi lebih besar.

Seperti biasa, jangan pernah menginstal pembaruan keamanan untuk perangkat lunak yang diinstal di situs pihak ketiga, dan hanya instal dari pengembang perangkat lunak atau melalui pembaruan otomatis yang disertakan dalam program.

selengkapnya : bleepingcomputer.com

Microsoft memperbaiki bug Windows Defender berusia 5 tahun yang mematikan kinerja Firefox

April 12, 2023 by Mally

Selama lebih dari lima tahun, perlindungan keamanan yang diberikan oleh Microsoft Defender berdampak negatif terhadap pengguna Firefox selama sesi penjelajahan web mereka. Komponen Antimalware Service Executable dari Defender (MsMpEng.exe) bertingkah aneh, menunjukkan penggunaan CPU yang tinggi saat Firefox dijalankan pada waktu yang bersamaan.

Firefox mengandalkan dan mengeksekusi sejumlah besar panggilan ke fungsi VirtualProtect kernel OS sambil melacak kejadian Windows (ETW). VirtualProtect adalah fungsi untuk mengubah “perlindungan pada wilayah halaman yang berkomitmen di ruang alamat virtual dari proses pemanggilan,” Microsoft menjelaskan, dan Defender melakukan banyak “perhitungan yang tidak berguna” pada setiap peristiwa sementara Firefox menghasilkan banyak acara ETW.

Pengembang Mozilla mengatakan bahwa pembaruan Defender akan memberikan peningkatan besar-besaran ~75% dalam penggunaan CPU dari MsMpEng.exe saat menjelajah web dengan Firefox. Dengan perbaikan tersebut, fitur Perlindungan Real-time Defender – yang diaktifkan secara default di Windows – akan mengkonsumsi lebih sedikit CPU daripada sebelumnya saat memantau perilaku dinamis program apa pun melalui ETW.

Microsoft juga membawa pembaruan ke sistem Windows 7 dan Windows 8.1 yang sekarang sudah usang, karena Firefox akan tetap mendukung kedua sistem operasi tersebut “setidaknya” hingga 2024. Selanjutnya, para insinyur Mozilla mengatakan bahwa “penemuan terbaru” dibuat saat menganalisis bug Defender yang aneh akan membantu Firefox “melangkah lebih jauh dalam penggunaan CPU,” dengan semua perangkat lunak antivirus lainnya dan bukan hanya Defender kali ini.

selengkapnya : techspot.com

Peretas Menggunakan Ekstensi Browser Rilide untuk Melewati Autentikasi Dua Faktor dan Mencuri Mata Uang Kripto

April 7, 2023 by Mally

Sebuah ekstensi browser bernama Rilide ditemukan oleh peneliti keamanan yang menargetkan produk berbasis Chromium seperti Google Chrome, Brave, Opera, dan Microsoft Edge.

Ekstensi berbahaya tersebut dapat memantau aktivitas browser, mengambil tangkapan layar, dan mencuri mata uang kripto melalui skrip yang disuntikkan di halaman web.

Rilide meniru ekstensi Google Drive untuk bersembunyi di depan mata dan menyalahgunakan fungsi bawaan Chrome. Terdapat dua kampanye terpisah yang mendistribusikan Rilide, salah satunya menggunakan Google Ads dan Aurora Stealer, sedangkan yang lain menggunakan Ekipa remote access trojan (RAT) untuk mendistribusikan ekstensi jahat tersebut.

Dua kampanye mendorong Rilide (Trustwave)

Trustwave melaporkan adanya malware yang terkait dengan ekstensi yang dijual di pasar gelap. Sebagian kode malware baru-baru ini bocor di forum bawah tanah karena perselisihan antara penjahat dunia maya terkait pembayaran yang belum terselesaikan.

Malware tersebut disebut Pemuat Rilide, yang merupakan parasit di browser web. Malware ini memodifikasi file pintasan browser web untuk mengotomatiskan eksekusi ekstensi jahat pada sistem yang terinfeksi. Setelah dieksekusi, malware akan mencuri informasi korban terkait mata uang kripto, kredensial akun email, dan lain-lain.

Selain itu, malware juga mengekstraksi riwayat penelusuran dan dapat menangkap tangkapan layar untuk dikirim ke C2. Ekstensi ini juga menonaktifkan fitur keamanan yang dirancang untuk melindungi dari serangan skrip lintas situs (XSS).

Fitur menarik di Rilide adalah sistem 2FA-bypassing, yang menggunakan dialog palsu untuk menipu korban agar memasukkan kode sementara mereka, sehingga dapat melewati autentikasi dua faktor.

Sistem ini diaktifkan saat korban memulai permintaan penarikan mata uang kripto ke layanan pertukaran yang ditargetkan Rilide. Malware memasuki sistem pada saat yang tepat untuk menyuntikkan skrip di latar belakang dan memproses permintaan secara otomatis.

Setelah pengguna memasukkan kode mereka pada dialog palsu, Rilide menggunakannya untuk menyelesaikan proses penarikan ke alamat dompet pelaku ancaman.

Rilide menampilkan kecanggihan ekstensi browser berbahaya yang kini hadir dengan pemantauan langsung dan sistem pencuri uang otomatis.

Meskipun peluncuran Manifest v3 di semua browser berbasis Chromium akan meningkatkan ketahanan terhadap ekstensi jahat, Trustwave menyatakan bahwa hal tersebut tidak akan menghilangkan masalah.

Sumber: Bleeping Computer

Google Mengumumkan Bard A.I. dalam Menanggapi ChatGPT

February 8, 2023 by Mally

Google pada hari Senin mengumumkan teknologi chatbot kecerdasan buatan yang disebut Bard bahwa perusahaan akan mulai diluncurkan dalam beberapa minggu mendatang. Pengumuman tersebut menkonfirmasi pelaporan CNBC sebelumnya. Bard akan bersaing lengsung dengan saingan ChatGPT, layanan AI yang dibuat oleh OpenAI.

Bard didukung oleh LaMDA model bahasa besar perusahaan, atau Model Bahasa untuk Aplikasi Dialog. Google akan membuka teknologi percakapan untuk “penguji tepercaya” sebelum membuatnya tersedia lebih luas untuk umum, kata perusahaan itu dalam posting blog Senin.

CNBC melaporkan bahwa kepala AI Google, Jeff Dean, mengatakan kepada karyawan pada saat itu bahwa perusahaan memiliki lebih banyak “risiko reputasi” dalam memberikan informasi yang salah dan dengan demikian bergerak “lebih konservatif daripada startup kecil.” Namun, dia dan Pichai menggoda saat itu bahwa Google mungkin meluncurkan produk serupa ke publik sekitar tahun ini.

Bisnis utama Google adalah pencarian web, dan perusahaan tersebut telah lama disebut-sebut sebagai pelopor AI. Para pemimpin telah meminta umpan balik dari lebih banyak karyawan tentang upaya tersebut dalam beberapa minggu terakhir.

sumber : cnbc.com

Google akan Segera melakukan Default untuk Memburamkan Hasil Penelusuran Gambar Eksplisit

February 8, 2023 by Mally

Pengaturan baru, yang diluncurkan “dalam beberapa bulan mendatang”, “akan mengaburkan citra eksplisit jika muncul di hasil Penelusuran saat pemfilteran TelusurAman tidak diaktifkan,” tulis Jen Fitzpatrick dari Google, wakil presiden senior Core Systems & Experiences. “Pengaturan ini akan menjadi default baru untuk orang yang belum mengaktifkan filter SafeSearch, dengan opsi untuk menyesuaikan pengaturan kapan saja.”

Jika Anda mengeklik “Lihat gambar”, Anda akan melihat sifat rapuh kehidupan. Jika Anda mengeklik “Kelola setelan”, Anda dapat memilih di antara tiga setelan: Filter (di mana hasil eksplisit tidak muncul sama sekali), Buram (di mana terjadi kekaburan dan klik yang Anda yakini), dan Nonaktif (di mana Anda melihat “semua hasil yang relevan, meskipun eksplisit”).

Pengguna yang masuk di bawah usia 18 tahun secara otomatis mengaktifkan SafeSearch, memblokir konten termasuk “pornografi, kekerasan, dan sadis”. Dengan perubahan ini, Google akan secara otomatis mengaburkan konten eksplisit untuk semua orang yang menggunakan Google yang tidak masuk, tetap masuk, dan secara khusus meminta untuk menampilkannya. Ini adalah cara untuk mencegah anak-anak mendapatkan akses ke gambar eksplisit, tetapi juga, khususnya, cara untuk memastikan orang masuk ke Google jika mereka mencari sesuatu… sangat spesifik. Jendela penyamaran, tampaknya, tidak akan berhasil.

Google mengaktifkan TelusurAman sebagai default untuk pengguna di bawah 18 tahun pada Agustus 2021, karena ditekan oleh Kongres untuk melindungi anak-anak dengan lebih baik di seluruh layanannya, termasuk penelusuran dan YouTube.

sumber : arstechnica

Eksploitasi ChromeBook Sh1mmer Baru Membatalkan Pendaftaran Perangkat Terkelola

February 1, 2023 by Mally

Eksploitasi baru ‘Sh1mmer’ memungkinkan pengguna membatalkan pendaftaran Chromebook yang dikelola perusahaan, memasang aplikasi apapun yang mereka inginkan, dan melewati batasan perangkat.

Chromebook akan dikelola oleh kebijakan yang dibuat oleh administrator organisasi saat didaftarkan dengan sekolah atau perusahaan. Ini memungkinkan admin untuk menginstal paksa ekstensi browser, aplikasi, dan membatasi cara penggunaan perangkat.

Hampir tidak mungkin membatalkan pendaftaran perangkat tanpa dilakukan oleh admin organisasi untuk Anda.

Peneliti keamanan dari Mercury Workshop Team telah mengembangkan exploit baru ‘Shady Hacking 1nstrument Makes Machine Enrollment Retreat’, atau ‘Sh1mmer,’ untuk melewati batasan ini.

Para peneliti juga menyebutkan beberapa board Chromebook yang telah merilis shim RMA secara publik.

Eksploitasi membutuhkan RMA shim yang dibocorkan secara publik yang akan dimodifikasi oleh eksploitasi Sh1mmer untuk memungkinkan pengguna mengelola pendaftaran perangkat.

Di menu ini, pengguna dapat membatalkan pendaftaran dan mendaftarkan ulang perangkat sesuai kebutuhan, mengaktifkan boot USB, mengizinkan akses tingkat root ke sistem operasi, membuka bash shell, dan banyak lagi.

Menu eksploitasi Google ChromeBook Sh1mmer — Menu eksploitasi Sh1mmer

Administrator sistem lain memperingatkan bahwa penggunaan eksploit ini kemungkinan melanggar kode etik siswa dan dapat menyebabkan konsekuensi serius.

Google mengetahui eksploit tersebut dan sedang bertindak untuk mengatasi masalah tersebut.

Selengkapnya: BleepingComputer

Google Chrome Membawa Kemampuan untuk Memblokir Unduhan HTTP Mencurigakan

January 3, 2023 by Mally

Fitur Google Chrome untuk memblokir unduhan HTTP yang tidak aman mungkin disertakan dengan Chrome 111 untuk pengujian.

Dilaporkan bahwa Google Chrome sedang mengerjakan pengembangan baru yang akan melindungi pengguna dari unduhan HTTP yang tidak aman. Dengan situs web paling aman yang sekarang menggunakan enkripsi HTTPS, Chrome berencana memblokir semua unduhan HTTP.

Fitur keamanan yang ada saat ini termasuk elemen campuran dan”Selalu Gunakan Koneksi Aman” di pengaturan keamanan. Peramban juga menandai peringatan “Tidak Aman” untuk situs lama yang hanya dienkripsi HTTP di bilah alamat.

Berdasarkan laporan 9To5Google, perubahan kode baru-baru ini untuk Google Chrome telah terlihat dengan fitur yang akan memperingatkan pengguna tentang unduhan yang tidak aman dari situs menggunakan HTTP.

Fitur yang sedang dalam pengembangan ini akan menandai peringatan kepada pengguna untuk menggunakan koneksi HTTPS yang aman. Ini akan memblokir unduhan dari situs web tidak aman dengan enkripsi HTTP.

Pembaruan mungkin tiba dengan Chrome 111, yang diharapkan akan diluncurkan pada Maret 2023, untuk pengujian.

Sementara itu, Chrome baru-baru ini meluncurkan peningkatan pada bilah alamatnya dengan menghadirkan pintasan baru untuk penjelajahan yang lebih mudah, yaitu tiga pintasan pencarian situs — @tabs, @bookmarks, dan @history untuk versi Chrome 108 desktop.

Selengkapnya: Gadgets360

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Browser

Cookies Settings