Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Browser / Chrome

Chrome

Ekstensi Chrome Berbahaya dengan 75 juta Pemasangan Dihapus dari Toko Web

by

Google telah menghapus 32 ekstensi berbahaya dari Toko Web Chrome yang dapat mengubah hasil penelusuran dan mendorong spam atau iklan yang tidak diinginkan. Secara kolektif, mereka datang dengan jumlah unduhan 75 juta.

Peneliti Cybersecurity Wladimir Palant menganalisis ekstensi PDF Toolbox dengan 2 juta unduhan yang tersedia dari Toko Web Chrome, ditemukan menyertakan kode yang disamarkan sebagai pembungkus API ekstensi yang sah.

Menurut peneliti, kode tersebut memungkinkan domain “serasearchtop[.]com” menyuntikkan kode JavaScript arbitrer ke situs web manapun yang dikunjungi pengguna. Kode juga di set untuk aktif 24 jam setelah memasang ekstensi, perilaku yang biasanya dikaitkan dengan niat jahat.

Potensi penyalahgunaan berkisar dari menyisipkan iklan ke halaman web hingga mencuri informasi sensitif. Namun, Palant tidak mengamati adanya aktivitas berbahaya, sehingga tujuan kode tersebut tetap tidak jelas.

Palant menerbitkan postingan tindak lanjut tentang kasus tersebut untuk memperingatkan bahwa dia telah menemukan kode mencurigakan yang sama di 18 ekstensi Chrome lainnya dengan jumlah unduhan total 55 juta.

Berikut beberapa contohnya dengan pengguna aktif mulai dari 3,5 – 9 juta pengguna, antara lain Autoskip, Soundboost, Crystal Ad block, Brisk VPN, Clipboard Helper, dan Maxi Refresher.

Saat Palant menerbitkan posting kedua, semua ekstensi masih tersedia di Toko Web Chrome. Dirinya menemukan dua varian kode yang menampilkan mekanisme injeksi kode JS arbitrer yang sama yang melibatkan serasearchtop[.]com.

Ada banyak laporan dan ulasan pengguna di Toko Web yang menunjukkan bahwa ekstensi melakukan pengalihan dan pembajakan hasil pencarian.

Terlepas dari upayanya untuk melaporkan ekstensi yang mencurigakan ke Google, ekstensi tersebut terus tersedia untuk pengguna dari Toko Web Chrom.

Sebelumnya, perusahaan cybersecurity Avast, melaporkan ekstensi ke Google setelah mengkonfirmasi sifat berbahaya mereka, dan memperluas daftar menjadi 32 entri. Secara kolektif, ini membual 75 juta pemasangan.

Mereka adalah adware yang membajak hasil pencarian untuk menampilkan tautan sponsor dan hasil berbayar, terkadang bahkan menyajikan tautan berbahaya.

Menanggapi hal tersebut, juru bicara Google mengatakan bahwa ekstensi yang dilaporkan telah dihapus dari Toko Web Chrome.

Avast menyoroti dampak signifikan dari ekstensi tersebut. Untuk pelanggannya, Avast secara selektif hanya menetralkan elemen jahat di dalam ekstensi, membiarkan fitur yang sah terus beroperasi tanpa gangguan.

Selengkapnya: BleepingComputer

Situs Hacked Ketahuan Menyebarkan Malware Melalui Pembaruan Chrome Palsu

by

Serangan dimulai dengan mengkompromikan situs web untuk menyuntikkan kode JavaScript berbahaya yang mengeksekusi skrip saat pengguna mengunjunginya. Skrip ini akan mengunduh skrip tambahan berdasarkan apakah pengunjung adalah audiens yang ditargetkan.

Skrip berbahaya ini dikirim melalui layanan Pinata IPFS (InterPlanetary File System), yang menyamarkan server asal yang menghosting file, membuat daftar blokir tidak efektif dan menolak penghapusan.

Jika pengunjung yang ditargetkan menjelajahi situs, skrip akan menampilkan layar kesalahan Google Chrome palsu yang menyatakan bahwa pembaruan otomatis yang diperlukan untuk melanjutkan penjelajahan situs gagal dipasang.

“Terjadi kesalahan pada pembaruan otomatis Chrome. Silakan instal paket pembaruan secara manual nanti, atau tunggu pembaruan otomatis berikutnya,” bunyi pesan kesalahan Chrome palsu.

Fake error served to visitors (NTT)

Skrip kemudian akan secara otomatis mengunduh file ZIP yang disebut ‘release.zip’ yang disamarkan sebagai pembaruan Chrome yang harus dipasang pengguna.

JavaScript yang mengaktifkan drop ZIP (NTT)

Namun, file ZIP ini berisi penambang Monero yang akan memanfaatkan sumber daya CPU perangkat untuk menambang mata uang kripto untuk para pelaku ancaman.

Saat diluncurkan, malware menyalin dirinya sendiri ke C:\Program Files\Google\Chrome sebagai “updater.exe” dan kemudian meluncurkan executable yang sah untuk melakukan injeksi proses dan dijalankan langsung dari memori.

Menurut VirusTotal, malware menggunakan teknik “BYOVD” (bawa driver rentan Anda sendiri) untuk mengeksploitasi kerentanan di WinRing0x64.sys yang sah untuk mendapatkan hak istimewa SISTEM pada perangkat.

Sementara beberapa situs web yang telah dirusak adalah bahasa Jepang, NTT memperingatkan bahwa penyertaan bahasa tambahan baru-baru ini dapat mengindikasikan bahwa pelaku ancaman berencana untuk memperluas cakupan penargetan mereka, sehingga dampak kampanye dapat segera menjadi lebih besar.

Seperti biasa, jangan pernah menginstal pembaruan keamanan untuk perangkat lunak yang diinstal di situs pihak ketiga, dan hanya instal dari pengembang perangkat lunak atau melalui pembaruan otomatis yang disertakan dalam program.

selengkapnya : bleepingcomputer.com

Peretas Menggunakan Ekstensi Browser Rilide untuk Melewati Autentikasi Dua Faktor dan Mencuri Mata Uang Kripto

by

Sebuah ekstensi browser bernama Rilide ditemukan oleh peneliti keamanan yang menargetkan produk berbasis Chromium seperti Google Chrome, Brave, Opera, dan Microsoft Edge.

Ekstensi berbahaya tersebut dapat memantau aktivitas browser, mengambil tangkapan layar, dan mencuri mata uang kripto melalui skrip yang disuntikkan di halaman web.

Rilide meniru ekstensi Google Drive untuk bersembunyi di depan mata dan menyalahgunakan fungsi bawaan Chrome. Terdapat dua kampanye terpisah yang mendistribusikan Rilide, salah satunya menggunakan Google Ads dan Aurora Stealer, sedangkan yang lain menggunakan Ekipa remote access trojan (RAT) untuk mendistribusikan ekstensi jahat tersebut.

Dua kampanye mendorong Rilide (Trustwave)

Trustwave melaporkan adanya malware yang terkait dengan ekstensi yang dijual di pasar gelap. Sebagian kode malware baru-baru ini bocor di forum bawah tanah karena perselisihan antara penjahat dunia maya terkait pembayaran yang belum terselesaikan.

Malware tersebut disebut Pemuat Rilide, yang merupakan parasit di browser web. Malware ini memodifikasi file pintasan browser web untuk mengotomatiskan eksekusi ekstensi jahat pada sistem yang terinfeksi. Setelah dieksekusi, malware akan mencuri informasi korban terkait mata uang kripto, kredensial akun email, dan lain-lain.

Selain itu, malware juga mengekstraksi riwayat penelusuran dan dapat menangkap tangkapan layar untuk dikirim ke C2. Ekstensi ini juga menonaktifkan fitur keamanan yang dirancang untuk melindungi dari serangan skrip lintas situs (XSS).

Grafik kemampuan Rilide (Trustwave)

Fitur menarik di Rilide adalah sistem 2FA-bypassing, yang menggunakan dialog palsu untuk menipu korban agar memasukkan kode sementara mereka, sehingga dapat melewati autentikasi dua faktor.

Sistem ini diaktifkan saat korban memulai permintaan penarikan mata uang kripto ke layanan pertukaran yang ditargetkan Rilide. Malware memasuki sistem pada saat yang tepat untuk menyuntikkan skrip di latar belakang dan memproses permintaan secara otomatis.

Setelah pengguna memasukkan kode mereka pada dialog palsu, Rilide menggunakannya untuk menyelesaikan proses penarikan ke alamat dompet pelaku ancaman.

Rilide menampilkan kecanggihan ekstensi browser berbahaya yang kini hadir dengan pemantauan langsung dan sistem pencuri uang otomatis.

Meskipun peluncuran Manifest v3 di semua browser berbasis Chromium akan meningkatkan ketahanan terhadap ekstensi jahat, Trustwave menyatakan bahwa hal tersebut tidak akan menghilangkan masalah.

Sumber: Bleeping Computer

Microsoft membajak halaman unduhan Chrome Google untuk memohon agar Anda tidak meninggalkan Edge

by

Microsoft Edge telah terlihat memasukkan spanduk ke halaman unduhan Chrome di Google.com yang meminta orang untuk tetap menggunakan browser raksasa Windows itu.

Seperti yang dicatat minggu ini oleh Neowin, upaya untuk mengunduh dan menginstal Chrome Canary menggunakan Edge Canary – keduanya merupakan build browser eksperimental – mengarah ke presentasi di jendela browser Edge dari grafik spanduk yang merayakan keunggulan Edge.

“Microsoft Edge berjalan pada teknologi yang sama dengan Chrome, dengan kepercayaan tambahan dari Microsoft,” spanduk tersebut menyatakan di atas tombol berlabel “Jelajahi dengan aman sekarang.”

Ini ada di laman web Google, google.com/chrome/canary/thank-you.html, dan tidak jelas bagaimana iklan ini muncul. Edge tampaknya menampilkan spanduk dengan sendirinya saat pengguna menjelajahi halaman unduhan Chrome di Google.com, yang sedikit agresif.

Microsoft tidak segera menanggapi permintaan untuk menjelaskan promosi dan mekanisme di baliknya. Kami mencatat bahwa Edge diberdayakan oleh mesin Chromium open source yang juga merupakan inti dari Google Chrome.

Iklan tersebut tampaknya tidak ditayangkan melalui server iklan biasa berdasarkan penempatan halamannya. Ada perdebatan di antara mereka yang mendiskusikan spanduk online apakah iklan terdiri dari kode yang disuntikkan oleh Edge ke halaman web Google, yang akan membuatnya dapat dideteksi dan dilepas sebagai bagian dari Model Objek Dokumen.

Juga disarankan bahwa iklan mungkin berasal dari Edge sebagai elemen antarmuka yang ditumpuk di atas halaman web yang dirender. Kami percaya ini masalahnya.

Selengkapnya: The Register

Google akan Segera melakukan Default untuk Memburamkan Hasil Penelusuran Gambar Eksplisit

by

Pengaturan baru, yang diluncurkan “dalam beberapa bulan mendatang”, “akan mengaburkan citra eksplisit jika muncul di hasil Penelusuran saat pemfilteran TelusurAman tidak diaktifkan,” tulis Jen Fitzpatrick dari Google, wakil presiden senior Core Systems & Experiences. “Pengaturan ini akan menjadi default baru untuk orang yang belum mengaktifkan filter SafeSearch, dengan opsi untuk menyesuaikan pengaturan kapan saja.”

Jika Anda mengeklik “Lihat gambar”, Anda akan melihat sifat rapuh kehidupan. Jika Anda mengeklik “Kelola setelan”, Anda dapat memilih di antara tiga setelan: Filter (di mana hasil eksplisit tidak muncul sama sekali), Buram (di mana terjadi kekaburan dan klik yang Anda yakini), dan Nonaktif (di mana Anda melihat “semua hasil yang relevan, meskipun eksplisit”).

Pengguna yang masuk di bawah usia 18 tahun secara otomatis mengaktifkan SafeSearch, memblokir konten termasuk “pornografi, kekerasan, dan sadis”. Dengan perubahan ini, Google akan secara otomatis mengaburkan konten eksplisit untuk semua orang yang menggunakan Google yang tidak masuk, tetap masuk, dan secara khusus meminta untuk menampilkannya. Ini adalah cara untuk mencegah anak-anak mendapatkan akses ke gambar eksplisit, tetapi juga, khususnya, cara untuk memastikan orang masuk ke Google jika mereka mencari sesuatu… sangat spesifik. Jendela penyamaran, tampaknya, tidak akan berhasil.

Google mengaktifkan TelusurAman sebagai default untuk pengguna di bawah 18 tahun pada Agustus 2021, karena ditekan oleh Kongres untuk melindungi anak-anak dengan lebih baik di seluruh layanannya, termasuk penelusuran dan YouTube.

sumber : arstechnica

Eksploitasi ChromeBook Sh1mmer Baru Membatalkan Pendaftaran Perangkat Terkelola

by

Eksploitasi baru ‘Sh1mmer’ memungkinkan pengguna membatalkan pendaftaran Chromebook yang dikelola perusahaan, memasang aplikasi apapun yang mereka inginkan, dan melewati batasan perangkat.

Chromebook akan dikelola oleh kebijakan yang dibuat oleh administrator organisasi saat didaftarkan dengan sekolah atau perusahaan. Ini memungkinkan admin untuk menginstal paksa ekstensi browser, aplikasi, dan membatasi cara penggunaan perangkat.

Hampir tidak mungkin membatalkan pendaftaran perangkat tanpa dilakukan oleh admin organisasi untuk Anda.

Peneliti keamanan dari Mercury Workshop Team telah mengembangkan exploit baru ‘Shady Hacking 1nstrument Makes Machine Enrollment Retreat’, atau ‘Sh1mmer,’ untuk melewati batasan ini.

Para peneliti juga menyebutkan beberapa board Chromebook yang telah merilis shim RMA secara publik.

Eksploitasi membutuhkan RMA shim yang dibocorkan secara publik yang akan dimodifikasi oleh eksploitasi Sh1mmer untuk memungkinkan pengguna mengelola pendaftaran perangkat.

Di menu ini, pengguna dapat membatalkan pendaftaran dan mendaftarkan ulang perangkat sesuai kebutuhan, mengaktifkan boot USB, mengizinkan akses tingkat root ke sistem operasi, membuka bash shell, dan banyak lagi.

Menu eksploitasi Google ChromeBook Sh1mmer
Menu eksploitasi Sh1mmer

Administrator sistem lain memperingatkan bahwa penggunaan eksploit ini kemungkinan melanggar kode etik siswa dan dapat menyebabkan konsekuensi serius.

Google mengetahui eksploit tersebut dan sedang bertindak untuk mengatasi masalah tersebut.

Selengkapnya: BleepingComputer

Google Chrome Membawa Kemampuan untuk Memblokir Unduhan HTTP Mencurigakan

by

Fitur Google Chrome untuk memblokir unduhan HTTP yang tidak aman mungkin disertakan dengan Chrome 111 untuk pengujian.

Dilaporkan bahwa Google Chrome sedang mengerjakan pengembangan baru yang akan melindungi pengguna dari unduhan HTTP yang tidak aman. Dengan situs web paling aman yang sekarang menggunakan enkripsi HTTPS, Chrome berencana memblokir semua unduhan HTTP.

Fitur keamanan yang ada saat ini termasuk elemen campuran dan”Selalu Gunakan Koneksi Aman” di pengaturan keamanan. Peramban juga menandai peringatan “Tidak Aman” untuk situs lama yang hanya dienkripsi HTTP di bilah alamat.

Berdasarkan laporan 9To5Google, perubahan kode baru-baru ini untuk Google Chrome telah terlihat dengan fitur yang akan memperingatkan pengguna tentang unduhan yang tidak aman dari situs menggunakan HTTP.

Fitur yang sedang dalam pengembangan ini akan menandai peringatan kepada pengguna untuk menggunakan koneksi HTTPS yang aman. Ini akan memblokir unduhan dari situs web tidak aman dengan enkripsi HTTP.

Pembaruan mungkin tiba dengan Chrome 111, yang diharapkan akan diluncurkan pada Maret 2023, untuk pengujian.

Sementara itu, Chrome baru-baru ini meluncurkan peningkatan pada bilah alamatnya dengan menghadirkan pintasan baru untuk penjelajahan yang lebih mudah, yaitu tiga pintasan pencarian situs — @tabs, @bookmarks, dan @history untuk versi Chrome 108 desktop.

Selengkapnya: Gadgets360

Kata sandi telah mati? Dukungan passkey diluncurkan ke stabil Chrome

by

Kunci sandi ada di sini untuk (mencoba) mematikan kata sandi. Mengikuti peluncuran fitur beta Google pada bulan Oktober, kunci sandi sekarang tersedia di Chrome stable M108. “Passkey” dibuat berdasarkan standar industri dan didukung oleh semua vendor platform besar—Google, Apple, Microsoft—bersama dengan FIDO Alliance.

Blog terbaru Google mengatakan: “Dengan Chrome versi terbaru, kami mengaktifkan kunci sandi di Windows 11, macOS, dan Android.” Pengelola Kata Sandi Google di Android siap untuk menyinkronkan semua kunci sandi Anda ke cloud, dan jika Anda dapat memenuhi semua persyaratan perangkat keras dan menemukan layanan pendukung, Anda sekarang dapat masuk ke sesuatu dengan kunci sandi.

Kunci sandi adalah langkah selanjutnya dalam evolusi pengelola kata sandi. Saat ini pengelola kata sandi sedikit meretas — kotak teks kata sandi pada awalnya dimaksudkan untuk manusia untuk mengetik teks secara manual, dan Anda diharapkan untuk mengingat kata sandi Anda.

Kemudian, pengelola kata sandi mulai mengotomatiskan pengetikan dan penghafalan tersebut, membuatnya nyaman untuk menggunakan kata sandi yang lebih panjang dan lebih aman. Saat ini, cara yang tepat untuk menangani bidang kata sandi adalah meminta pengelola kata sandi Anda membuat serangkaian karakter sampah acak yang tidak dapat diingat untuk ditempelkan di bidang kata sandi.

Kunci sandi menghilangkan antarmuka kotak teks lawas itu dan sebagai gantinya menyimpan rahasia, meneruskan rahasia itu ke situs web, dan jika cocok, Anda masuk. Alih-alih meneruskan string teks yang dibuat secara acak, kunci sandi menggunakan “WebAuthn” standar untuk menghasilkan keypair publik-swasta, seperti SSH.

Selengkapnya: ars TECHNICA