Chrome

Ekstensi Chrome Berbahaya dengan 75 juta Pemasangan Dihapus dari Toko Web

June 6, 2023 by Mally

Google telah menghapus 32 ekstensi berbahaya dari Toko Web Chrome yang dapat mengubah hasil penelusuran dan mendorong spam atau iklan yang tidak diinginkan. Secara kolektif, mereka datang dengan jumlah unduhan 75 juta.

Peneliti Cybersecurity Wladimir Palant menganalisis ekstensi PDF Toolbox dengan 2 juta unduhan yang tersedia dari Toko Web Chrome, ditemukan menyertakan kode yang disamarkan sebagai pembungkus API ekstensi yang sah.

Menurut peneliti, kode tersebut memungkinkan domain “serasearchtop[.]com” menyuntikkan kode JavaScript arbitrer ke situs web manapun yang dikunjungi pengguna. Kode juga di set untuk aktif 24 jam setelah memasang ekstensi, perilaku yang biasanya dikaitkan dengan niat jahat.

Potensi penyalahgunaan berkisar dari menyisipkan iklan ke halaman web hingga mencuri informasi sensitif. Namun, Palant tidak mengamati adanya aktivitas berbahaya, sehingga tujuan kode tersebut tetap tidak jelas.

Palant menerbitkan postingan tindak lanjut tentang kasus tersebut untuk memperingatkan bahwa dia telah menemukan kode mencurigakan yang sama di 18 ekstensi Chrome lainnya dengan jumlah unduhan total 55 juta.

Berikut beberapa contohnya dengan pengguna aktif mulai dari 3,5 – 9 juta pengguna, antara lain Autoskip, Soundboost, Crystal Ad block, Brisk VPN, Clipboard Helper, dan Maxi Refresher.

Saat Palant menerbitkan posting kedua, semua ekstensi masih tersedia di Toko Web Chrome. Dirinya menemukan dua varian kode yang menampilkan mekanisme injeksi kode JS arbitrer yang sama yang melibatkan serasearchtop[.]com.

Ada banyak laporan dan ulasan pengguna di Toko Web yang menunjukkan bahwa ekstensi melakukan pengalihan dan pembajakan hasil pencarian.

Terlepas dari upayanya untuk melaporkan ekstensi yang mencurigakan ke Google, ekstensi tersebut terus tersedia untuk pengguna dari Toko Web Chrom.

Sebelumnya, perusahaan cybersecurity Avast, melaporkan ekstensi ke Google setelah mengkonfirmasi sifat berbahaya mereka, dan memperluas daftar menjadi 32 entri. Secara kolektif, ini membual 75 juta pemasangan.

Mereka adalah adware yang membajak hasil pencarian untuk menampilkan tautan sponsor dan hasil berbayar, terkadang bahkan menyajikan tautan berbahaya.

Menanggapi hal tersebut, juru bicara Google mengatakan bahwa ekstensi yang dilaporkan telah dihapus dari Toko Web Chrome.

Avast menyoroti dampak signifikan dari ekstensi tersebut. Untuk pelanggannya, Avast secara selektif hanya menetralkan elemen jahat di dalam ekstensi, membiarkan fitur yang sah terus beroperasi tanpa gangguan.

Selengkapnya: BleepingComputer

Situs Hacked Ketahuan Menyebarkan Malware Melalui Pembaruan Chrome Palsu

April 13, 2023 by Mally

Serangan dimulai dengan mengkompromikan situs web untuk menyuntikkan kode JavaScript berbahaya yang mengeksekusi skrip saat pengguna mengunjunginya. Skrip ini akan mengunduh skrip tambahan berdasarkan apakah pengunjung adalah audiens yang ditargetkan.

Skrip berbahaya ini dikirim melalui layanan Pinata IPFS (InterPlanetary File System), yang menyamarkan server asal yang menghosting file, membuat daftar blokir tidak efektif dan menolak penghapusan.

Jika pengunjung yang ditargetkan menjelajahi situs, skrip akan menampilkan layar kesalahan Google Chrome palsu yang menyatakan bahwa pembaruan otomatis yang diperlukan untuk melanjutkan penjelajahan situs gagal dipasang.

“Terjadi kesalahan pada pembaruan otomatis Chrome. Silakan instal paket pembaruan secara manual nanti, atau tunggu pembaruan otomatis berikutnya,” bunyi pesan kesalahan Chrome palsu.

Skrip kemudian akan secara otomatis mengunduh file ZIP yang disebut ‘release.zip’ yang disamarkan sebagai pembaruan Chrome yang harus dipasang pengguna.

JavaScript yang mengaktifkan drop ZIP (NTT)

Namun, file ZIP ini berisi penambang Monero yang akan memanfaatkan sumber daya CPU perangkat untuk menambang mata uang kripto untuk para pelaku ancaman.

Saat diluncurkan, malware menyalin dirinya sendiri ke C:\Program Files\Google\Chrome sebagai “updater.exe” dan kemudian meluncurkan executable yang sah untuk melakukan injeksi proses dan dijalankan langsung dari memori.

Menurut VirusTotal, malware menggunakan teknik “BYOVD” (bawa driver rentan Anda sendiri) untuk mengeksploitasi kerentanan di WinRing0x64.sys yang sah untuk mendapatkan hak istimewa SISTEM pada perangkat.

Sementara beberapa situs web yang telah dirusak adalah bahasa Jepang, NTT memperingatkan bahwa penyertaan bahasa tambahan baru-baru ini dapat mengindikasikan bahwa pelaku ancaman berencana untuk memperluas cakupan penargetan mereka, sehingga dampak kampanye dapat segera menjadi lebih besar.

Seperti biasa, jangan pernah menginstal pembaruan keamanan untuk perangkat lunak yang diinstal di situs pihak ketiga, dan hanya instal dari pengembang perangkat lunak atau melalui pembaruan otomatis yang disertakan dalam program.

selengkapnya : bleepingcomputer.com

Peretas Menggunakan Ekstensi Browser Rilide untuk Melewati Autentikasi Dua Faktor dan Mencuri Mata Uang Kripto

April 7, 2023 by Mally

Sebuah ekstensi browser bernama Rilide ditemukan oleh peneliti keamanan yang menargetkan produk berbasis Chromium seperti Google Chrome, Brave, Opera, dan Microsoft Edge.

Ekstensi berbahaya tersebut dapat memantau aktivitas browser, mengambil tangkapan layar, dan mencuri mata uang kripto melalui skrip yang disuntikkan di halaman web.

Rilide meniru ekstensi Google Drive untuk bersembunyi di depan mata dan menyalahgunakan fungsi bawaan Chrome. Terdapat dua kampanye terpisah yang mendistribusikan Rilide, salah satunya menggunakan Google Ads dan Aurora Stealer, sedangkan yang lain menggunakan Ekipa remote access trojan (RAT) untuk mendistribusikan ekstensi jahat tersebut.

Dua kampanye mendorong Rilide (Trustwave)

Trustwave melaporkan adanya malware yang terkait dengan ekstensi yang dijual di pasar gelap. Sebagian kode malware baru-baru ini bocor di forum bawah tanah karena perselisihan antara penjahat dunia maya terkait pembayaran yang belum terselesaikan.

Malware tersebut disebut Pemuat Rilide, yang merupakan parasit di browser web. Malware ini memodifikasi file pintasan browser web untuk mengotomatiskan eksekusi ekstensi jahat pada sistem yang terinfeksi. Setelah dieksekusi, malware akan mencuri informasi korban terkait mata uang kripto, kredensial akun email, dan lain-lain.

Selain itu, malware juga mengekstraksi riwayat penelusuran dan dapat menangkap tangkapan layar untuk dikirim ke C2. Ekstensi ini juga menonaktifkan fitur keamanan yang dirancang untuk melindungi dari serangan skrip lintas situs (XSS).

Fitur menarik di Rilide adalah sistem 2FA-bypassing, yang menggunakan dialog palsu untuk menipu korban agar memasukkan kode sementara mereka, sehingga dapat melewati autentikasi dua faktor.

Sistem ini diaktifkan saat korban memulai permintaan penarikan mata uang kripto ke layanan pertukaran yang ditargetkan Rilide. Malware memasuki sistem pada saat yang tepat untuk menyuntikkan skrip di latar belakang dan memproses permintaan secara otomatis.

Setelah pengguna memasukkan kode mereka pada dialog palsu, Rilide menggunakannya untuk menyelesaikan proses penarikan ke alamat dompet pelaku ancaman.

Rilide menampilkan kecanggihan ekstensi browser berbahaya yang kini hadir dengan pemantauan langsung dan sistem pencuri uang otomatis.

Meskipun peluncuran Manifest v3 di semua browser berbasis Chromium akan meningkatkan ketahanan terhadap ekstensi jahat, Trustwave menyatakan bahwa hal tersebut tidak akan menghilangkan masalah.

Sumber: Bleeping Computer

Google akan Segera melakukan Default untuk Memburamkan Hasil Penelusuran Gambar Eksplisit

February 8, 2023 by Mally

Pengaturan baru, yang diluncurkan “dalam beberapa bulan mendatang”, “akan mengaburkan citra eksplisit jika muncul di hasil Penelusuran saat pemfilteran TelusurAman tidak diaktifkan,” tulis Jen Fitzpatrick dari Google, wakil presiden senior Core Systems & Experiences. “Pengaturan ini akan menjadi default baru untuk orang yang belum mengaktifkan filter SafeSearch, dengan opsi untuk menyesuaikan pengaturan kapan saja.”

Jika Anda mengeklik “Lihat gambar”, Anda akan melihat sifat rapuh kehidupan. Jika Anda mengeklik “Kelola setelan”, Anda dapat memilih di antara tiga setelan: Filter (di mana hasil eksplisit tidak muncul sama sekali), Buram (di mana terjadi kekaburan dan klik yang Anda yakini), dan Nonaktif (di mana Anda melihat “semua hasil yang relevan, meskipun eksplisit”).

Pengguna yang masuk di bawah usia 18 tahun secara otomatis mengaktifkan SafeSearch, memblokir konten termasuk “pornografi, kekerasan, dan sadis”. Dengan perubahan ini, Google akan secara otomatis mengaburkan konten eksplisit untuk semua orang yang menggunakan Google yang tidak masuk, tetap masuk, dan secara khusus meminta untuk menampilkannya. Ini adalah cara untuk mencegah anak-anak mendapatkan akses ke gambar eksplisit, tetapi juga, khususnya, cara untuk memastikan orang masuk ke Google jika mereka mencari sesuatu… sangat spesifik. Jendela penyamaran, tampaknya, tidak akan berhasil.

Google mengaktifkan TelusurAman sebagai default untuk pengguna di bawah 18 tahun pada Agustus 2021, karena ditekan oleh Kongres untuk melindungi anak-anak dengan lebih baik di seluruh layanannya, termasuk penelusuran dan YouTube.

sumber : arstechnica

Eksploitasi ChromeBook Sh1mmer Baru Membatalkan Pendaftaran Perangkat Terkelola

February 1, 2023 by Mally

Eksploitasi baru ‘Sh1mmer’ memungkinkan pengguna membatalkan pendaftaran Chromebook yang dikelola perusahaan, memasang aplikasi apapun yang mereka inginkan, dan melewati batasan perangkat.

Chromebook akan dikelola oleh kebijakan yang dibuat oleh administrator organisasi saat didaftarkan dengan sekolah atau perusahaan. Ini memungkinkan admin untuk menginstal paksa ekstensi browser, aplikasi, dan membatasi cara penggunaan perangkat.

Hampir tidak mungkin membatalkan pendaftaran perangkat tanpa dilakukan oleh admin organisasi untuk Anda.

Peneliti keamanan dari Mercury Workshop Team telah mengembangkan exploit baru ‘Shady Hacking 1nstrument Makes Machine Enrollment Retreat’, atau ‘Sh1mmer,’ untuk melewati batasan ini.

Para peneliti juga menyebutkan beberapa board Chromebook yang telah merilis shim RMA secara publik.

Eksploitasi membutuhkan RMA shim yang dibocorkan secara publik yang akan dimodifikasi oleh eksploitasi Sh1mmer untuk memungkinkan pengguna mengelola pendaftaran perangkat.

Di menu ini, pengguna dapat membatalkan pendaftaran dan mendaftarkan ulang perangkat sesuai kebutuhan, mengaktifkan boot USB, mengizinkan akses tingkat root ke sistem operasi, membuka bash shell, dan banyak lagi.

Menu eksploitasi Google ChromeBook Sh1mmer — Menu eksploitasi Sh1mmer

Administrator sistem lain memperingatkan bahwa penggunaan eksploit ini kemungkinan melanggar kode etik siswa dan dapat menyebabkan konsekuensi serius.

Google mengetahui eksploit tersebut dan sedang bertindak untuk mengatasi masalah tersebut.

Selengkapnya: BleepingComputer

Google Chrome Membawa Kemampuan untuk Memblokir Unduhan HTTP Mencurigakan

January 3, 2023 by Mally

Fitur Google Chrome untuk memblokir unduhan HTTP yang tidak aman mungkin disertakan dengan Chrome 111 untuk pengujian.

Dilaporkan bahwa Google Chrome sedang mengerjakan pengembangan baru yang akan melindungi pengguna dari unduhan HTTP yang tidak aman. Dengan situs web paling aman yang sekarang menggunakan enkripsi HTTPS, Chrome berencana memblokir semua unduhan HTTP.

Fitur keamanan yang ada saat ini termasuk elemen campuran dan”Selalu Gunakan Koneksi Aman” di pengaturan keamanan. Peramban juga menandai peringatan “Tidak Aman” untuk situs lama yang hanya dienkripsi HTTP di bilah alamat.

Berdasarkan laporan 9To5Google, perubahan kode baru-baru ini untuk Google Chrome telah terlihat dengan fitur yang akan memperingatkan pengguna tentang unduhan yang tidak aman dari situs menggunakan HTTP.

Fitur yang sedang dalam pengembangan ini akan menandai peringatan kepada pengguna untuk menggunakan koneksi HTTPS yang aman. Ini akan memblokir unduhan dari situs web tidak aman dengan enkripsi HTTP.

Pembaruan mungkin tiba dengan Chrome 111, yang diharapkan akan diluncurkan pada Maret 2023, untuk pengujian.

Sementara itu, Chrome baru-baru ini meluncurkan peningkatan pada bilah alamatnya dengan menghadirkan pintasan baru untuk penjelajahan yang lebih mudah, yaitu tiga pintasan pencarian situs — @tabs, @bookmarks, dan @history untuk versi Chrome 108 desktop.

Selengkapnya: Gadgets360

Aplikasi Android Berbahaya Ditemukan Mendukung Layanan Pembuatan Akun

November 30, 2022 by Mally

Aplikasi SMS Android palsu, dengan 100.000 unduhan di Google Play Store, telah ditemukan secara diam-diam bertindak sebagai relai SMS untuk layanan pembuatan akun untuk situs seperti Microsoft, Google, Instagram, Telegram, dan Facebook.

Seorang peneliti mengatakan perangkat yang terinfeksi kemudian disewakan sebagai “nomor virtual” untuk menyampaikan kode sandi satu kali yang digunakan untuk memverifikasi pengguna saat membuat akun baru.

many user reviews complain that it is fake, hijacks their phones, and generates multiple OTPs (one-time passwords) upon installation.

Aplikasi Symoo dan ulasan pengguna di Google Play

Symoo ditemukan oleh peneliti keamanan Evina Maxime Ingrao, yang melaporkannya ke Google tetapi belum mendapat kabar dari tim Android. Pada saat penulisan, aplikasi tetap tersedia di Google Play.

Merutekan kode 2FA
Di layar pertama, ia meminta pengguna untuk memberikan nomor telepon mereka; setelah itu, itu melapisi layar pemuatan palsu yang seharusnya menunjukkan kemajuan memuat sumber daya.

Namun, proses ini diperpanjang, memungkinkan operator jarak jauh mengirim beberapa teks SMS 2FA (otentikasi dua faktor) untuk membuat akun di berbagai layanan, membaca kontennya, dan meneruskannya kembali ke operator.

Setelah selesai, aplikasi akan membeku, tidak pernah mencapai antarmuka SMS yang dijanjikan, sehingga pengguna biasanya akan mencopot pemasangannya.

aplikasi tersebut telah menggunakan nomor telepon pengguna Android untuk membuat akun palsu di berbagai platform online, dan peninjau mengatakan bahwa pesan mereka sekarang diisi dengan kode akses satu kali untuk akun yang tidak pernah mereka buat.

Menjual akun
Pengembang aplikasi ‘Nomor Virtual’ juga membuat aplikasi lain di Google Play yang disebut ‘ActivationPW – Nomor virtual’, diunduh 10.000 kali, yang menawarkan “Nomor online dari lebih dari 200 negara” yang dapat Anda gunakan untuk membuat akun.

Dengan menggunakan aplikasi ini, pengguna dapat “menyewa” nomor dengan harga kurang dari setengah dolar dan, dalam banyak kasus, menggunakan nomor tersebut untuk memverifikasi akun.

It is believed that the Symoo app is used to receive and forward OTP verification codes generated when people create accounts using ActivationPW.

sumber : bleeping computer

Ekstensi Google Chrome Digunakan Untuk Mencuri Cryptocurrency

November 22, 2022 by Mally

Ekstensi browser Google Chrome yang mencuri informasi bernama ‘VenomSoftX’ sedang digunakan oleh malware Windows untuk mencuri cryptocurrency dan konten clipboard saat pengguna menjelajahi web.

Ekstensi Chrome ini dipasang oleh malware ViperSoftX Windows, yang bertindak sebagai RAT berbasis JavaScript (trojan akses jarak jauh) dan pembajak cryptocurrency.

Aktivitas Terbaru
Saluran distribusi utama untuk ViperSoftX adalah file torrent yang berisi crack game bertali dan aktivator produk perangkat lunak.

Dengan menganalisis alamat dompet yang di-hardcode dalam sampel ViperSoftX dan VenomSoftX, Avast menemukan bahwa keduanya secara kolektif telah menghasilkan sekitar $130.000 bagi operator mereka pada 8 November 2022.

Cryptocurrency yang dicuri ini diperoleh dengan mengalihkan transaksi cryptocurrency yang dicoba pada perangkat yang dikompromikan dan tidak termasuk keuntungan dari aktivitas paralel.

Baris kode berbahaya tunggal bersembunyi di suatu tempat di bagian bawah file teks log 5MB dan berjalan untuk mendekripsi muatan, pencuri ViperSoftX.

Fitur utama dari varian ViperSoftX yang lebih baru adalah pemasangan ekstensi browser berbahaya bernama VenomSoftX di browser berbasis Chrome (Chrome, Brave, Edge, Opera).

Menginfeksi Chrome

“VenomSoftX terutama melakukan ini (mencuri crypto) dengan mengaitkan permintaan API pada beberapa pertukaran crypto yang sangat populer yang dikunjungi/dimiliki oleh korban,” jelas Avast dalam laporan tersebut.

“Ketika API tertentu dipanggil, misalnya, untuk mengirim uang, VenomSoftX merusak permintaan sebelum dikirim untuk mengalihkan uang ke penyerang.”

Layanan yang ditargetkan oleh VenomSoftX adalah Blockchain.com, Binance, Coinbase, Gate.io, dan Kucoin, sedangkan ekstensi juga memonitor clipboard untuk penambahan alamat dompet.

“This module focuses on www.blockchain.com and it tries to hook https://blockchain.info/wallet. It also modifies the getter of the password field to steal entered passwords,” explains Avast.

“Once the request to the API endpoint is sent, the wallet address is extracted from the request, bundled with the password, and sent to the collector as a base64-encoded JSON via MQTT.”

Terakhir, jika pengguna melampirkan konten ke situs web mana pun, ekstensi akan memeriksa apakah cocok dengan salah satu ekspresi reguler yang ditunjukkan di atas, dan jika demikian, kirimkan konten yang ditempelkan ke pelaku ancaman.

Dikarenakan Google Sheets biasanya dipasang di Google Chrome sebagai aplikasi di bawah chrome://apps/ dan bukan ekstensi, Anda dapat memeriksa halaman ekstensi browser Anda untuk menentukan apakah Google Sheets dipasang.

Sumber : bleeping computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Chrome

Cookies Settings