Analis ancaman di McAfee menemukan lima ekstensi Google Chrome yang mencuri aktivitas penelusuran pengguna yang telah diunduh lebih dari 1,4 juta kali.
Tujuan dari ekstensi jahat adalah untuk memantau saat pengguna mengunjungi situs web e-niaga dan untuk mengubah cookie pengunjung agar tampak seolah-olah mereka datang melalui tautan perujuk. Untuk ini, penulis ekstensi mendapatkan biaya afiliasi untuk setiap pembelian di toko elektronik.
Lima ekstensi berbahaya yang ditemukan oleh peneliti McAfee adalah sebagai berikut:
- Netflix Party (mmnbenehknklpbendgmgneaignppnbe) – 800.000 unduhan
- Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300.000 unduhan
- Full Page Screenshot Capture – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200.000 unduhan
- FlipShope – Price Tracker Extension (adikhbfjdbjkhelbdnffogkobkekkkej) – 80.000 unduhan
- AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20.000 unduhan
Kelima ekstensi yang ditemukan oleh McAfee memiliki perilaku yang serupa. Manifes aplikasi web (file “manifest.json”), yang menentukan bagaimana ekstensi harus berperilaku pada sistem, memuat skrip multifungsi (B0.js) yang mengirimkan data penelusuran ke domain yang dikontrol penyerang (“langhort[.] com”).
Data dikirimkan melalui permintaan POST setiap kali pengguna mengunjungi URL baru. Info yang menjangkau penipu termasuk URL dalam bentuk base64, ID pengguna, lokasi perangkat (negara, kota, kode pos), dan URL rujukan yang disandikan.
Jika situs web yang dikunjungi cocok dengan entri apa pun pada daftar situs web yang pembuat ekstensinya memiliki afiliasi aktif, server akan merespons B0.js dengan salah satu dari dua kemungkinan fungsi.
Yang pertama, “Result[‘c’] – passf_url “, memerintahkan skrip untuk memasukkan URL yang disediakan (tautan rujukan) sebagai iframe di situs web yang dikunjungi.
Yang kedua, “Result[‘e’] setCookie”, memerintahkan B0.js untuk memodifikasi cookie atau menggantinya dengan cookie yang disediakan jika ekstensi telah diberikan izin terkait untuk melakukan tindakan ini.
Untuk menghindari deteksi, analisis, dan untuk membingungkan peneliti atau pengguna yang waspada, beberapa ekstensi menampilkan penundaan 15 hari sejak pemasangannya sebelum mulai mengirimkan aktivitas browser.
Pada saat penulisan ini, “Full Page Screenshot Capture – Screenshotting” dan “FlipShope – Price Tracker Extension” masih tersedia di Toko Web Chrome.
Kedua ekstensi Netflix Party telah dihapus dari toko, tetapi ini tidak menghapusnya dari browser web, jadi pengguna harus mengambil tindakan manual untuk mencopot pemasangannya.
Sumber: Bleeping Computer
