Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Chrome Extension

Chrome Extension

Ekstensi Chrome Berbahaya dengan 75 juta Pemasangan Dihapus dari Toko Web

by

Google telah menghapus 32 ekstensi berbahaya dari Toko Web Chrome yang dapat mengubah hasil penelusuran dan mendorong spam atau iklan yang tidak diinginkan. Secara kolektif, mereka datang dengan jumlah unduhan 75 juta.

Peneliti Cybersecurity Wladimir Palant menganalisis ekstensi PDF Toolbox dengan 2 juta unduhan yang tersedia dari Toko Web Chrome, ditemukan menyertakan kode yang disamarkan sebagai pembungkus API ekstensi yang sah.

Menurut peneliti, kode tersebut memungkinkan domain “serasearchtop[.]com” menyuntikkan kode JavaScript arbitrer ke situs web manapun yang dikunjungi pengguna. Kode juga di set untuk aktif 24 jam setelah memasang ekstensi, perilaku yang biasanya dikaitkan dengan niat jahat.

Potensi penyalahgunaan berkisar dari menyisipkan iklan ke halaman web hingga mencuri informasi sensitif. Namun, Palant tidak mengamati adanya aktivitas berbahaya, sehingga tujuan kode tersebut tetap tidak jelas.

Palant menerbitkan postingan tindak lanjut tentang kasus tersebut untuk memperingatkan bahwa dia telah menemukan kode mencurigakan yang sama di 18 ekstensi Chrome lainnya dengan jumlah unduhan total 55 juta.

Berikut beberapa contohnya dengan pengguna aktif mulai dari 3,5 – 9 juta pengguna, antara lain Autoskip, Soundboost, Crystal Ad block, Brisk VPN, Clipboard Helper, dan Maxi Refresher.

Saat Palant menerbitkan posting kedua, semua ekstensi masih tersedia di Toko Web Chrome. Dirinya menemukan dua varian kode yang menampilkan mekanisme injeksi kode JS arbitrer yang sama yang melibatkan serasearchtop[.]com.

Ada banyak laporan dan ulasan pengguna di Toko Web yang menunjukkan bahwa ekstensi melakukan pengalihan dan pembajakan hasil pencarian.

Terlepas dari upayanya untuk melaporkan ekstensi yang mencurigakan ke Google, ekstensi tersebut terus tersedia untuk pengguna dari Toko Web Chrom.

Sebelumnya, perusahaan cybersecurity Avast, melaporkan ekstensi ke Google setelah mengkonfirmasi sifat berbahaya mereka, dan memperluas daftar menjadi 32 entri. Secara kolektif, ini membual 75 juta pemasangan.

Mereka adalah adware yang membajak hasil pencarian untuk menampilkan tautan sponsor dan hasil berbayar, terkadang bahkan menyajikan tautan berbahaya.

Menanggapi hal tersebut, juru bicara Google mengatakan bahwa ekstensi yang dilaporkan telah dihapus dari Toko Web Chrome.

Avast menyoroti dampak signifikan dari ekstensi tersebut. Untuk pelanggannya, Avast secara selektif hanya menetralkan elemen jahat di dalam ekstensi, membiarkan fitur yang sah terus beroperasi tanpa gangguan.

Selengkapnya: BleepingComputer

Ekstensi Google Chrome Digunakan Untuk Mencuri Cryptocurrency

by

Ekstensi browser Google Chrome yang mencuri informasi bernama ‘VenomSoftX’ sedang digunakan oleh malware Windows untuk mencuri cryptocurrency dan konten clipboard saat pengguna menjelajahi web.

Ekstensi Chrome ini dipasang oleh malware ViperSoftX Windows, yang bertindak sebagai RAT berbasis JavaScript (trojan akses jarak jauh) dan pembajak cryptocurrency.

Aktivitas Terbaru
Saluran distribusi utama untuk ViperSoftX adalah file torrent yang berisi crack game bertali dan aktivator produk perangkat lunak.

Dengan menganalisis alamat dompet yang di-hardcode dalam sampel ViperSoftX dan VenomSoftX, Avast menemukan bahwa keduanya secara kolektif telah menghasilkan sekitar $130.000 bagi operator mereka pada 8 November 2022.

Cryptocurrency yang dicuri ini diperoleh dengan mengalihkan transaksi cryptocurrency yang dicoba pada perangkat yang dikompromikan dan tidak termasuk keuntungan dari aktivitas paralel.

Baris kode berbahaya tunggal bersembunyi di suatu tempat di bagian bawah file teks log 5MB dan berjalan untuk mendekripsi muatan, pencuri ViperSoftX.

Fitur utama dari varian ViperSoftX yang lebih baru adalah pemasangan ekstensi browser berbahaya bernama VenomSoftX di browser berbasis Chrome (Chrome, Brave, Edge, Opera).

Menginfeksi Chrome

“VenomSoftX terutama melakukan ini (mencuri crypto) dengan mengaitkan permintaan API pada beberapa pertukaran crypto yang sangat populer yang dikunjungi/dimiliki oleh korban,” jelas Avast dalam laporan tersebut.

“Ketika API tertentu dipanggil, misalnya, untuk mengirim uang, VenomSoftX merusak permintaan sebelum dikirim untuk mengalihkan uang ke penyerang.”

Layanan yang ditargetkan oleh VenomSoftX adalah Blockchain.com, Binance, Coinbase, Gate.io, dan Kucoin, sedangkan ekstensi juga memonitor clipboard untuk penambahan alamat dompet.

“This module focuses on www.blockchain.com and it tries to hook https://blockchain.info/wallet. It also modifies the getter of the password field to steal entered passwords,” explains Avast.

“Once the request to the API endpoint is sent, the wallet address is extracted from the request, bundled with the password, and sent to the collector as a base64-encoded JSON via MQTT.”

Terakhir, jika pengguna melampirkan konten ke situs web mana pun, ekstensi akan memeriksa apakah cocok dengan salah satu ekspresi reguler yang ditunjukkan di atas, dan jika demikian, kirimkan konten yang ditempelkan ke pelaku ancaman.

Dikarenakan Google Sheets biasanya dipasang di Google Chrome sebagai aplikasi di bawah chrome://apps/ dan bukan ekstensi, Anda dapat memeriksa halaman ekstensi browser Anda untuk menentukan apakah Google Sheets dipasang.

Sumber : bleeping computer

SharpTongue Menyebarkan Ekstensi Browser Pencuri Email yang Cerdas “SHARPEXT”

by

Volexity melacak berbagai aktor ancaman untuk memberikan wawasan unik dan informasi yang dapat ditindaklanjuti kepada pelanggan Threat Intelligence-nya. Salah satu yang sering ditemui—yang sering menghasilkan investigasi forensik pada sistem yang disusupi—dilacak oleh Volexity sebagai SharpTongue. Aktor ini diyakini berasal dari Korea Utara dan sering disebut publik dengan nama Kimsuky.Volexity sering mengamati SharpTongue menargetkan dan mengorbankan individu yang bekerja untuk organisasi di Amerika Serikat, Eropa dan Korea Selatan yang bekerja pada topik yang melibatkan Korea Utara, masalah nuklir, sistem senjata, dan hal-hal lain yang menjadi kepentingan strategis Korea Utara.

Pada September 2021, Volexity mulai mengamati keluarga malware yang menarik dan tidak terdokumentasi yang digunakan oleh SharpTongue. Dalam setahun terakhir, Volexity telah menanggapi beberapa insiden yang melibatkan SharpTongue dan, dalam banyak kasus, telah menemukan ekstensi berbahaya Google Chrome atau Microsoft Edge yang disebut Volexity “SHARPEXT”.

SHARPEXT berbeda dari ekstensi yang didokumentasikan sebelumnya yang digunakan oleh aktor “Kimsuky”, karena tidak mencoba mencuri nama pengguna dan kata sandi. Sebaliknya, malware secara langsung memeriksa dan mengekstrak data dari akun email web korban saat mereka menjelajahinya. Sejak penemuannya, ekstensi telah berkembang dan saat ini berada di versi 3.0, berdasarkan sistem versi internal. Ini mendukung tiga browser web dan pencurian email dari Gmail dan webmail AOL.

Penggunaan ekstensi peramban berbahaya oleh aktor ancaman Korea Utara bukanlah hal baru; taktik ini biasanya digunakan untuk menginfeksi pengguna sebagai bagian dari fase pengiriman serangan. Namun, ini adalah pertama kalinya Volexity mengamati ekstensi peramban berbahaya yang digunakan sebagai bagian dari fase kompromi pasca-eksploitasi. Dengan mencuri data email dalam konteks sesi pengguna yang sudah masuk, serangan disembunyikan dari penyedia email, membuat deteksi menjadi sangat menantang. Demikian pula, cara kerja ekstensi berarti aktivitas mencurigakan tidak akan dicatat di halaman status “aktivitas akun” email pengguna, jika mereka meninjaunya.

Penerapan SHARPEXT sangat disesuaikan, karena penyerang harus terlebih dahulu mendapatkan akses ke file Preferensi Keamanan browser asli korban. File ini kemudian dimodifikasi dan digunakan untuk menyebarkan ekstensi berbahaya. Volexity telah mengamati SharpTongue menyebarkan SHARPEXT terhadap target selama lebih dari setahun; dan, dalam setiap kasus, folder khusus untuk pengguna yang terinfeksi dibuat berisi file yang diperlukan untuk ekstensi.

Volexity telah mengikuti evolusi SHARPEXT karena beberapa keterlibatan yang ditangani oleh tim respons insidennya. Ketika Volexity pertama kali menemukan SHARPEXT, tampaknya merupakan alat dalam pengembangan awal yang mengandung banyak bug, indikasi bahwa alat tersebut belum matang. Pembaruan terbaru dan pemeliharaan berkelanjutan menunjukkan penyerang mencapai tujuannya, menemukan nilai dalam terus menyempurnakannya. Visibilitas Volexity sendiri menunjukkan ekstensi telah cukup berhasil, karena log yang diperoleh Volexity menunjukkan penyerang berhasil mencuri ribuan email dari banyak korban melalui penyebaran malware.

Untuk mendeteksi dan menyelidiki serangan seperti ini secara umum, Volexity merekomendasikan hal berikut:

  • Karena PowerShell memainkan peran kunci dalam penyiapan dan pemasangan malware, mengaktifkan dan menganalisis hasil logging PowerShell ScriptBlock dapat berguna untuk identifikasi dan triase aktivitas berbahaya.
  • Tim keamanan yang bertanggung jawab untuk membela pengguna yang sangat ditargetkan oleh pelaku ancaman ini dapat mempertimbangkan untuk meninjau ekstensi yang diinstal pada mesin pengguna berisiko tinggi secara berkala untuk mengidentifikasi ekstensi yang tidak tersedia di Toko Web Chrome atau dimuat dari jalur yang tidak biasa.

Untuk mencegah serangan spesifik ini, Volexity merekomendasikan hal berikut:

  • Gunakan aturan YARA di sini untuk mendeteksi aktivitas terkait.
  • Blokir IOC yang terdaftar di sini.

Sumber: Volexity

Google menghapus ekstensi Chrome ClearURL yang berfokus pada privasi

by

Google secara misterius telah menghapus ClearURL, ekstensi browser populer, dari Toko Web Chrome.

ClearURLs adalah add-on browser yang menjaga privasi yang secara otomatis menghapus elemen pelacakan dari URL. Ini, menurut pengembangnya, dapat membantu melindungi privasi Anda saat menjelajah Internet.

ClearURLs adalah add-on browser web yang tersedia untuk Google Chrome dan Mozilla Firefox yang bertugas menghapus bit pelacakan dari URL.

Banyak situs web memiliki URL yang sangat panjang dengan parameter tambahan yang tidak memiliki nilai fungsional tetapi hanya digunakan untuk tujuan pelacakan.

Menariknya, URL hasil pencarian Google juga menggunakannya.

Saat mengklik hasil pencarian gambar, misalnya, Google tidak langsung mengirim Anda ke URL asli halaman webnya, melainkan URL perantara yang mengarahkan Anda.

Bleeping Computer memberi contoh:
https://www.google.com/url?sa=i&url=https%3A%2F%2Fwww.bleepingcomputer.com%2F&psig=AXXXXXYAWa
&ust=1616XXXXXXX&source=images&cd=vfe&ved=0CXXXXe-p3XXX

Parameter tambahan pada URL di atas (ved, cd, dll.) Hanya melacak bit dan perujuk yang digunakan untuk analitik.

ClearURLs dirancang untuk menyaring parameter pelacakan tersebut dari URL dan meningkatkan privasi online pengguna.

Namun, pengguna melihat ClearURL menghilang dari Toko Web Chrome dengan lamannya menampilkan pesan kesalahan 404 (tidak ditemukan).

Pengembang mengajukan banding ke Google agar tidak memblokir ekstensi dan mendapat respon dari Google.

Dalam salinan email yang dibagikan oleh pengembang, Google mengklaim bahwa deskripsi ekstensi “terlalu mendetail” dan melanggar aturan Toko Web Chrome.

Selengkapnya: Bleeping Computer

Extension Great Suspender telah dihapus dari Toko Web Chrome karena mengandung malware

by

Kemarin, Google telah menghapus extension populer The Great Suspender karena mengandung malware dan secara proaktif menonaktifkan extension tersebut bagi mereka yang memilikinya.

The Great Suspender adalah – atau mungkin dulu – extension yang memaksa tab berlebih Anda untuk “tidur”, membantu mencegah Chrome menggunakan terlalu banyak RAM dan sumber daya lainnya.

Tahun lalu, seperti yang dijelaskan secara mendalam oleh TheMageKing, pengembangan The Great Suspender berpindah tangan dan kemudian dijual kepada pihak ketiga yang tidak dikenal.

Selanjutnya, dengan versi 7.1.8, The Great Suspender menambahkan sebuah exploit yang dapat digunakan untuk menjalankan hampir semua jenis kode di komputer Anda tanpa sepengetahuan Anda.

Eksploit ini menyebabkan extension dihapus dari toko extension Microsoft Edge, tetapi The Great Suspender diizinkan untuk tetap berada di Toko Web Chrome karena pembaruan yang lebih baru dilaporkan menghapus eksploit tersebut.

Lalu kemarin, Google tampaknya telah memberlakukan penghapusan The Great Suspender karena mengandung malware, menghapus extension dari Toko Web Chrome dan telah menonaktifkan extension tersebut secara paksa oleh Chrome.

Tidak diketahui apakah masalah malware ini akan membuat The Great Suspender dihapus secara permanen dari Toko Web Chrome, atau apakah akan dipulihkan tepat waktu. Sementara itu, komunitas telah membuat versi terakhir The Great Suspender yang bebas malware untuk membuat The Marvelous Suspender, yang sekarang tersedia di Toko Web Chrome.

Sumber: 9to5google

Kerentanan XSS di Vue.js terungkap

by

Pengembang kerangka kerja JavaScript Vue.js telah mengatasi kerentanan cross site scripting (XSS) di ekstensi Chrome, tetapi hanya bertindak setelah peneliti mengumumkan kesalahan tersebut.

Jiantao Li dari starlabs konsultan keamanan yang berbasis di Singapura menemukan kekurangan tersebut sebelum memberi tahu pengembangnya, yang memiliki lebih dari satu juta pengguna di antara komunitas pengembangan perangkat lunak.

Setelah lebih dari dua minggu tanpa hasil mencoba memberi tahu pengembang secara pribadi melalui email, starlabs mencoba pendekatan yang berbeda dan memposting tentang masalah tersebut di GitHub yang menawarkan detail di samping kode bukti konsep. Pendekatan yang berbeda membuahkan hasil yang cepat dan masalah diselesaikan dalam waktu tiga jam.

Dalam laporannya, starlabs menjelaskan dampak kerentanan dan bagaimana penyerang mungkin mengeksploitasinya sebelum diselesaikan.

“Ini pada dasarnya adalah kerentanan injeksi kode di ekstensi browser populer,” jelas peneliti. “Penyebabnya adalah data yang tidak dipercaya dieksekusi sebagai kode.

“UXSS akan memungkinkan penyerang untuk mengeksekusi JavaScript dari satu domain ke domain lain jika berhasil dieksploitasi.”

Sumber: The Daily Swig