Chrome

Spyware ‘Predator’ Biarkan Peretas Pemerintah Membobol Chrome dan Android

May 24, 2022 by Eevee

Sebuah perusahaan pengawasan swasta yang mencurigakan menjual akses kelemahan keamanan yang kuat di Chrome dan Android tahun lalu kepada peretas yang berafiliasi dengan pemerintah, Google mengungkapkan Senin.

Cytrox, sebuah perusahaan rahasia yang berbasis di Makedonia Utara, diduga menjual akses empat kelemahan keamanan zero-day di browser Chrome serta satu di sistem operasi Android. Kliennya adalah “aktor ancaman” yang terkait dengan pemerintah di beberapa negara asing yang menggunakan eksploitasi untuk melakukan kampanye peretasan dengan spyware invasif Cytrox “Predator.

“Kami menilai dengan keyakinan tinggi bahwa eksploitasi ini dikemas oleh satu perusahaan pengawasan komersial, Cytrox, dan dijual ke berbagai aktor yang didukung pemerintah yang menggunakannya setidaknya dalam tiga kampanye yang dibahas di bawah ini,” peneliti dengan Google’s Threat Analysis Group (TAG) dijelaskan dalam posting blog.

Cytrox juga dikatakan telah memberi kliennya akses ke sejumlah “n-days”—kerentanan yang sudah memiliki patch yang dikeluarkan untuk mereka. Dalam kasus ini, pengguna yang ditargetkan mungkin belum memperbarui perangkat atau aplikasi mereka.

Peretas yang membeli layanan dan spyware Cytrox berbasis di seluruh dunia—Yunani, Serbia, Mesir, Armenia, Spanyol, Indonesia, Madagaskar, dan Pantai Gading, tulis para peneliti. Tim TAG Google juga menulis tentang tren baru yang mengganggu: mayoritas kerentanan zero-day yang mereka temukan tahun lalu sengaja “dikembangkan” oleh perusahaan pengawasan swasta seperti Cytrox.

“Tujuh dari sembilan TAG 0 hari yang ditemukan pada tahun 2021 termasuk dalam kategori ini: dikembangkan oleh penyedia komersial dan dijual kepada serta digunakan oleh aktor yang didukung pemerintah,” tulis para peneliti. “TAG secara aktif melacak lebih dari 30 vendor dengan berbagai tingkat kecanggihan dan eksposur publik yang menjual eksploitasi atau kemampuan pengawasan kepada aktor yang didukung pemerintah.”

Skandal peretasan yang terkait dengan industri pengawasan swasta telah menimbulkan kontroversi signifikan dalam beberapa tahun terakhir. Secara khusus, perusahaan spyware terkenal NSO Group telah dituduh menjual alat intrusi digital canggihnya kepada pemerintah di seluruh dunia.

Sumber: Gizmodo

Google Merilis Pembaruan Keamanan untuk Chrome

May 12, 2022 by Eevee

Google mengumumkan pembaruan keamanan pada situs resminya dihari rabu, 11 mei. Versi baru Chrome ini adalah 101.0.4951.64 dan tersedia untuk Windows, Mac dan Linux yang akan diluncurkan dalam beberapa hari/minggu mendatang.

Pembaruan ini mencakup 13 perbaikan keamanan, 8 diantaranya dinilai sebagai tingkat “tinggi” yang merupakan kerentanan yang dapat dieksploitasi oleh penyerang untuk mengendalikan sistem yang terpengaruh.

[$5000][1316990] CVE-2022-1633 Tinggi: Gunakan setelah gratis di Sharesheet. Dilaporkan oleh Khalil Zhani pada 2022-04-18

[$3000][1314908] CVE-2022-1634 Tinggi: Gunakan setelah gratis di UI Browser. Dilaporkan oleh Khalil Zhani pada 2022-04-09

[$3000][1319797] CVE-2022-1635 Tinggi: Gunakan setelah gratis di Permintaan Izin. Dilaporkan oleh Anonymous pada 2022-04-26

[$NA][1297283] CVE-2022-1636 Tinggi: Gunakan setelah gratis di Performance API. Dilaporkan oleh Seth Brenith, Microsoft pada 2022-02-15

[$TBD][1311820] CVE-2022-1637 Tinggi: Implementasi yang tidak tepat dalam Konten Web. Dilaporkan oleh Alesandro Ortiz pada 2022-03-31

[$TBD][1316946] CVE-2022-1638 Tinggi: Heap buffer overflow di Internasionalisasi V8. Dilaporkan oleh DoHyun Lee (@l33d0hyun) dari DNSLab, Universitas Korea pada 2022-04-17

[$TBD][1317650] CVE-2022-1639 Tinggi: Gunakan setelah gratis di ANGLE. Dilaporkan oleh SeongHwan Park (SeHwa) pada 2022-04-19

[$TBD][1320592] CVE-2022-1640 Tinggi: Gunakan setelah gratis di Berbagi. Dilaporkan oleh Weipeng Jiang (@Krace) dan Guang Gong dari 360 Vulnerability Research Institute pada 2022-04-28

[$5000][1305068] Medium CVE-2022-1641: Gunakan setelah gratis di Diagnostik UI Web. Dilaporkan oleh Rong Jian dari VRI pada 2022-03-10

[1323855] Berbagai perbaikan dari audit internal, fuzzing, dan inisiatif lainnya

Oleh karena itu, pengguna disarankan untuk segera melakukan pembaruan keamanan.

Sumber: Google Chrome releases

Setiap pengguna Google Chrome harus mengklik tombol ini sekarang

May 9, 2022 by Eevee

Jadi, di mana tombol Pemeriksaan keamanan? Cara termudah untuk menemukannya adalah dengan mengetikkan ini ke bilah alamat Anda dan tekan enter:

chrome://settings/safetyCheck

Atau, Anda dapat masuk ke Pengaturan dan klik Keamanan dan Privasi lalu klik Periksa sekarang di sisi kanan di bawah Pemeriksaan Keamanan.

Tombol pemeriksaan keamanan ada di sana. Mengkliknya melakukan empat hal:

Memeriksa pembaruan Google Chrome
Memeriksa apakah ada sandi tersimpan Anda yang telah disusupi
Memeriksa apakah Penjelajahan Aman diaktifkan, dan memberi Anda tautan untuk mengubah pengaturan ini
Memeriksa ekstensi berbahaya (bukan ide yang buruk mengingat bencana terbaru dengan The Great Suspender)

Menjalankan pemeriksaan Keamanan Google Chrome

Jika Anda menginginkan lebih banyak perlindungan, Anda dapat mengaktifkan Peningkatan perlindungan di bawah Penjelajahan Aman, dan itu akan memberi Anda keamanan yang jauh lebih besar, tetapi itu melibatkan persetujuan agar data penjelajahan Anda dikirim ke Google.

Sumber: ZDnet

Microsoft Defender menandai pembaruan Google Chrome sebagai mencurigakan

April 21, 2022 by Eevee

Microsoft Defender for Endpoint telah menandai pembaruan Google Chrome yang dikirimkan melalui Google Update sebagai aktivitas mencurigakan karena masalah positif palsu.

Menurut laporan admin sistem Windows [1, 2, 3, 4], solusi keamanan (sebelumnya dikenal sebagai Microsoft Defender ATP) mulai menandai pembaruan Chrome sebagai mencurigakan mulai tadi malam.

Mereka yang mengalami masalah ini melaporkan melihat peringatan “Insiden multi-tahap yang melibatkan penghindaran Eksekusi & Pertahanan” pada titik akhir Windows yang terpengaruh yang dipantau menggunakan Defender untuk Titik Akhir.

Dalam penasihat layanan Microsoft 365 Defender yang dikeluarkan setelah laporan peringatan yang mengkhawatirkan ini mulai muncul secara online, Microsoft mengungkapkan bahwa peringatan tersebut salah dipicu oleh positif palsu dan bukan karena aktivitas jahat.

Kira-kira satu setengah jam kemudian, saran diperbarui, dengan Redmond mengatakan masalah positif palsu telah diatasi dan layanan dipulihkan.

Pembela untuk peringatan positif palsu Endpoint (Kevin Gray)

Admin Windows harus berurusan dengan beberapa masalah positif palsu Defender for Endpoint lainnya selama dua tahun terakhir.

Misalnya, mereka terkena gelombang peringatan Defender for Endpoint di mana pembaruan Office ditandai sebagai berbahaya dalam peringatan yang menunjukkan perilaku ransomware yang terdeteksi di titik akhir Windows.

Pada bulan November, Defender ATP memblokir dokumen Office dan beberapa executable Office agar tidak dibuka atau diluncurkan karena tag positif palsu lainnya pada file muatan malware Emotet.

Satu bulan kemudian, itu secara keliru menampilkan peringatan “gangguan sensor” yang ditautkan ke pemindai Microsoft 365 Defender untuk proses Log4j.

Masalah Defender for Endpoint serupa lainnya termasuk peringatan perangkat jaringan yang terinfeksi Cobalt Strike dan pembaruan Chrome sebagai backdoor PHP, keduanya disebabkan oleh deteksi positif palsu.

Sumber :Bleeping Computer

CISA memerintahkan agensi untuk memperbaiki VMware, bug Chrome yang dieksploitasi secara aktif

April 17, 2022 by Søren

Cybersecurity and Infrastructure Security Agency (CISA) telah menambahkan sembilan kelemahan keamanan ke daftar bug yang dieksploitasi secara aktif, termasuk cacat eskalasi hak istimewa VMware dan Google Chrome zero-day yang dapat digunakan untuk eksekusi kode jarak jauh.

Kerentanan VMware (CVE-2022-22960) telah ditambal pada tanggal 6 April, dan memungkinkan penyerang untuk meningkatkan hak istimewa untuk melakukan root pada server yang rentan karena izin yang tidak tepat dalam skrip dukungan.

Chrome zero-day juga disertakan dalam katalog CISA’s Known Exploited Vulnerabilities (KEV), bug yang dilacak sebagai CVE-2022-1364 dan memungkinkan eksekusi kode jarak jauh karena kelemahan kebingungan tipe V8.

Semua lembaga Federal Civilian Executive Branch Agencies (FCEB) harus menambal sistem mereka terhadap bug keamanan ini setelah ditambahkan ke daftar KEV CISA menurut arahan operasional yang mengikat November (BOD 22-01).

Mereka diberi waktu tiga minggu untuk mengurangi kekurangan hingga 6 Mei untuk memastikan bahwa upaya eksploitasi yang sedang berlangsung akan diblokir.

CISA menambahkan tujuh kerentanan keamanan lainnya ke katalognya hari ini, semuanya disalahgunakan dalam serangan yang sedang berlangsung.

CVE Table

Pada hari Kamis, CISA juga menambahkan bug eksekusi kode jarak jauh VMware kritis (CVE-2022-22954), sekarang digunakan dalam serangan untuk menyebarkan muatan cryptominer.

Selengkapnya: Bleeping Computer

Pembaruan darurat Google Chrome memperbaiki penggunaan zero-day dalam serangan

April 15, 2022 by Winnie the Pooh

Google telah merilis Chrome 100.0.4896.127 untuk Windows, Mac, dan Linux, untuk memperbaiki kerentanan zero-day dengan tingkat keparahan tinggi yang secara aktif digunakan oleh pelaku ancaman dalam serangan.

Sementara Google menyatakan bahwa pembaruan Chrome ini akan diluncurkan dalam beberapa minggu ke depan, pengguna dapat langsung menerimanya dengan masuk ke menu Chrome > Help > About Google Chrome.

Karena bug ini dieksploitasi secara aktif dalam serangan, sangat disarankan agar Anda melakukan pemeriksaan manual untuk pembaruan baru dan meluncurkan kembali browser untuk menerapkannya.

Bug zero-day yang diperbaiki dilacak sebagai CVE-2022-1364 dan merupakan tipe kelemahan kebingungan tingkat keparahan tinggi di mesin JavaScript Chrome V8.

Sementara tipe kelemahan kebingungan umumnya menyebabkan browser crash setelah eksploitasi yang berhasil dengan membaca atau menulis memori di luar batas buffer, penyerang juga dapat mengeksploitasinya untuk mengeksekusi kode arbitrer.

Sementara Google mengatakan mereka telah mendeteksi serangan yang mengeksploitasi zero-day ini, namun tidak memberikan rincian lebih lanjut mengenai bagaimana serangan ini dilakukan.

Segera perbarui browser Google Chrome Anda.

Selengkapnya: Bleeping Computer

Google Chrome untuk memungkinkan pengguna menambahkan catatan ke kata sandi yang disimpan

February 23, 2022 by Eevee

Google sedang menguji fitur Chrome baru yang memungkinkan pengguna untuk menambahkan catatan pada kata sandi yang disimpan di browser web.

Fitur baru ini ditemukan oleh pengguna Reddit (u/Leopeva64-2) di Google Chrome Canary (versi 101), yang merupakan versi masa depan eksperimental tiga rilis dari cabang stabil, saat ini di versi 98.

Fitur ini akan memungkinkan pengguna untuk mengedit kata sandi tersimpan yang ada untuk menambahkan informasi tambahan, seperti alamat email yang terkait dengan akun, pertanyaan/jawaban keamanan, atau informasi lain yang mungkin diperlukan saat masuk atau menggunakan situs.

Catatan kata sandi di Chrome Canary
Sumber: Reddit | u/Leopeva64-2)

Google saat ini sedang menguji fitur ini dengan sebagian pengguna karena tidak muncul di semua browser. Ada banyak alasan yang sah untuk menggunakan fitur ini, tetapi pada titik ini, tidak jelas seberapa baik perlindungan catatan ini.

Malware pencuri informasi seperti RedLine sudah dapat mencuri basis data kata sandi Chrome, jadi jika catatan tersebut dibundel dengan mereka, mereka juga akan rentan.

Bagi mereka yang memasukkan informasi berisiko yang terkait langsung dengan kata sandi, fitur baru ini berpotensi meningkatkan risiko akun mereka disusupi.

Bahkan jika seorang infostealer mengambil daftar kata sandi yang disimpan di Chrome, itu tidak akan membantu mereka melewati autentikasi multi-faktor yang mungkin telah dikonfigurasi pengguna di akun mereka.

Namun, jika pengguna menyimpan kode cadangan MFA atau informasi sensitif lainnya di bidang catatan, ini dapat memungkinkan pelaku ancaman meningkatkan akses ke akun.

Jika Anda benar-benar perlu menyimpan catatan di browser Anda, sebagian besar pengelola kata sandi menawarkan opsi ini bersama dengan enkripsi yang kuat dan perlindungan brankas rahasia, jadi ini mungkin cara yang lebih aman untuk melakukannya.

Sumber : Bleeping Computer

Malware CryptBot yang diubah yang disebarkan oleh situs perangkat lunak bajakan

February 22, 2022 by Eevee

Versi baru dari pencuri info CryptBot terlihat didistribusikan melalui beberapa situs web yang menawarkan unduhan gratis untuk game dan perangkat lunak kelas pro.

CryptBot adalah malware Windows yang mencuri informasi dari perangkat yang terinfeksi, termasuk kredensial browser yang disimpan, cookie, riwayat browser, dompet cryptocurrency, kartu kredit, dan file.

Analis keamanan di Ahn Lab melaporkan pelaku ancaman CryptBot mendistribusikan malware melalui situs web yang berpura-pura menawarkan celah perangkat lunak, generator kunci, atau utilitas lainnya.

Untuk mendapatkan visibilitas yang luas, para pelaku ancaman memanfaatkan optimisasi mesin pencari untuk menentukan peringkat situs distribusi malware di bagian atas hasil pencarian Google, memberikan aliran calon korban yang stabil.

Menurut tangkapan layar yang dibagikan dari situs distribusi malware, pelaku ancaman menggunakan domain khusus atau situs web yang dihosting di Amazon AWS.

Beberapa situs web yang baru-baru ini digunakan untuk distribusi CryptoBot
Sumber: Ahn Lab

Pengunjung situs ini dibawa melalui serangkaian pengalihan sebelum mereka berakhir di halaman pengiriman, sehingga halaman arahan bisa berada di situs sah yang disusupi yang disalahgunakan untuk serangan keracunan SEO.

Sampel baru CryptBot menunjukkan bahwa pembuatnya ingin menyederhanakan fungsinya dan membuat malware lebih ringan, lebih ramping, dan kecil kemungkinannya untuk dideteksi.

Dalam konteks ini, rutinitas anti-kotak pasir telah dihapus, hanya menyisakan pemeriksaan jumlah inti CPU anti-VM di versi terbaru.

Juga, koneksi C2 kedua yang berlebihan dan folder eksfiltrasi kedua keduanya dihapus, dan varian baru hanya menampilkan C2 pencuri info tunggal.

Fitur lain yang telah dihapus oleh penulis CryptBot adalah fungsi tangkapan layar dan opsi untuk mengumpulkan data pada file TXT di desktop, yang terlalu berisiko dan mungkin mudah dideteksi selama eksfiltrasi.

Di sisi lain, versi terbaru CryptBot membawa beberapa tambahan dan peningkatan yang ditargetkan yang membuatnya jauh lebih kuat.

Pada versi sebelumnya, malware hanya dapat berhasil mengekstrak data saat diterapkan pada Chrome versi antara 81 dan 95.

Keterbatasan ini muncul dari penerapan sistem yang mencari data pengguna di jalur file tetap, dan jika jalurnya berbeda, malware mengembalikan kesalahan.

Perbandingan sistem penemuan pathname (kanan baru) – ASEC

Sekarang, ia mencari di semua jalur file, dan jika data pengguna ditemukan di mana saja, ia akan mengekstraknya terlepas dari versi Chrome.

Mempertimbangkan bahwa Google meluncurkan chrome 96 pada November 2021, CryptBot tetap tidak efektif terhadap sebagian besar targetnya selama kira-kira tiga bulan, jadi memperbaiki masalah ini sudah terlambat bagi operatornya.

Sumber : Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Chrome

Cookies Settings