Para ahli menemukan lima ekstensi Google Chrome berbahaya yang digunakan oleh 1,4 juta pengguna

idNSA.id - Peneliti McAfee menemukan lima ekstensi Google Chrome berbahaya dengan total basis installasi lebih dari 1.400.000. Ekstensi Google Chrome berbahaya menyamar sebagai Netflix viewers, kupon situs web, dan aplikasi untuk mengambil tangkapan layar situs web.

Ekstensi yang dirancang untuk melacak aktivitas penjelajahan pengguna, mereka juga dapat memasukkan kode ke situs web eCommerce yang dikunjungi. Pada dasarnya, ekstensi memodifikasi cookie di situs sehingga pembuat ekstensi menerima pembayaran afiliasi untuk setiap item yang dibeli.

“Setiap situs web yang dikunjungi dikirim ke server milik pembuat ekstensi. Mereka melakukan ini agar mereka dapat memasukkan kode ke situs web eCommerce yang dikunjungi. Tindakan ini memodifikasi cookie di situs sehingga pembuat ekstensi menerima pembayaran afiliasi untuk setiap item yang dibeli.” membaca analisis yang diterbitkan oleh para ahli. “Pengguna ekstensi tidak menyadari fungsi ini dan risiko privasi dari setiap situs yang dikunjungi dikirim ke server pembuat ekstensi.”

Manifest.json menyetel halaman latar belakang HTML, yang memuat javascript b0.js yang mengirimkan setiap URL yang dikunjungi oleh korban ke C2 dan memasukkan kode ke situs eCommerce.

Alur peristiwa selangkah demi selangkah saat pengguna menavigasi ke situs web BestBuy.  Pengguna menavigasi ke bestbuy.com dan ekstensi memposting URL ini dalam format Base64 ke d.langhort.com/chrome/TrackData, Langhort.com merespons dengan "c" dan URL. "c" berarti ekstensi akan memanggil fungsi passf_url(),   passf_url() akan melakukan permintaan terhadap URL, URL yang ditanyakan pada langkah 3 dialihkan menggunakan respons 301 ke bestbuy.com dengan ID afiliasi yang terkait dengan pemilik Ekstensi, Ekstensi akan menyisipkan URL sebagai Iframe di situs bestbuy.com yang dikunjungi oleh pengguna, Menunjukkan Cookie yang disetel untuk ID Afiliasi yang terkait dengan pemilik Ekstensi. Mereka sekarang akan menerima komisi untuk setiap pembelian yang dilakukan di bestbuy.com

Beberapa ekstensi menerapkan pemeriksaan waktu sebelum melakukan aktivitas berbahaya untuk menghindari deteksi. Para peneliti memperhatikan bahwa ekstensi berbahaya mulai beroperasi setelah 15 hari sejak pemasangannya.

“McAfee menyarankan pelanggannya untuk berhati-hati saat memasang ekstensi Chrome dan memperhatikan izin yang mereka minta. ” tutup laporan itu. “Izin akan ditampilkan oleh Chrome sebelum pemasangan ekstensi. Pelanggan harus mengambil langkah ekstra untuk memverifikasi keaslian jika ekstensi meminta izin yang memungkinkannya berjalan di setiap situs web yang Anda kunjungi seperti yang dijelaskan di blog ini .”