Aktor ancaman yang tidak diketahui telah dikaitkan dengan menciptakan beberapa ekstensi browser krom berbahaya sejak Februari 2024 yang menyamar sebagai utilitas yang tampaknya jinak tetapi menggabungkan fungsionalitas rahasia untuk mengekspiltrasi data, menerima perintah, dan menjalankan kode sewenang -wenang.
“Aktor ini membuat situs web yang menyamar sebagai layanan yang sah, alat produktivitas, asisten pembuatan iklan dan media atau analisis, layanan VPN, crypto, perbankan, dan lainnya untuk mengarahkan pengguna untuk menginstal ekstensi berbahaya yang sesuai di tim web Chrome (CWS) Google yang dibagikan kepada Hacker.
Sementara add-on browser tampaknya menawarkan fitur yang diiklankan, mereka juga memungkinkan kredensial dan pencurian cookie, pembajakan sesi, injeksi iklan, pengalihan berbahaya, manipulasi lalu lintas, dan phishing melalui manipulasi DOM.
Faktor lain yang menguntungkan ekstensi adalah bahwa mereka dikonfigurasi untuk memberikan izin berlebihan secara berlebihan melalui file manifest.json, yang memungkinkan mereka untuk berinteraksi dengan setiap situs yang dikunjungi di browser, menjalankan kode sewenang-wenang yang diambil dari domain yang dikendalikan oleh penyerang, melakukan pengalihan jahat, dan bahkan menyuntikkan ADS.
Ekstensi juga telah ditemukan mengandalkan event handler “OnReset” pada elemen Model Objek Dokumen sementara (DOM) untuk menjalankan kode, kemungkinan dalam upaya memintas Kebijakan Keamanan Konten (CSP).
Beberapa situs web umpan yang diidentifikasi menyamar sebagai produk dan layanan yang sah seperti Deepseek, Manus, Bijank, FortivPN, dan statistik situs untuk menarik pengguna dalam mengunduh dan menginstal ekstensi. Add-on kemudian melanjutkan untuk memanen cookie browser, mengambil skrip sewenang-wenang dari server jarak jauh, dan mengatur koneksi WebSocket untuk bertindak sebagai proxy jaringan untuk perutean lalu lintas.
Saat ini tidak ada visibilitas tentang bagaimana para korban dialihkan ke situs palsu, tetapi Domaintools mengatakan kepada publikasi bahwa itu bisa melibatkan metode biasa seperti phishing dan media sosial.
“Karena mereka muncul di kedua toko web Chrome dan memiliki situs web yang berdekatan, mereka dapat kembali dari sebagai hasil dalam pencarian web normal dan untuk pencarian di dalam toko Chrome,” kata perusahaan itu. “Banyak situs web umpan menggunakan ID pelacakan Facebook, yang sangat menyarankan mereka memanfaatkan aplikasi Facebook / meta dalam beberapa cara untuk menarik pengunjung situs. Mungkin melalui halaman Facebook, grup, dan bahkan iklan.”
Pada saat menulis, tidak diketahui siapa yang berada di belakang kampanye, meskipun para aktor ancaman telah mendirikan lebih dari 100 situs web palsu dan ekstensi krom berbahaya. Google, untuk bagiannya, telah menghapus ekstensi.
Untuk mengurangi risiko, pengguna disarankan untuk tetap dengan pengembang terverifikasi sebelum mengunduh ekstensi, meninjau izin yang diminta, meneliti ulasan, dan menahan diri dari menggunakan ekstensi mirip.
Yang mengatakan, juga perlu diingat bahwa peringkat dapat dimanipulasi dan secara artifisial meningkat dengan menyaring umpan balik pengguna negatif.
Domaintools, dalam analisis yang diterbitkan akhir bulan lalu, menemukan bukti ekstensi yang menyamar sebagai Deepseek yang mengarahkan pengguna yang memberikan peringkat rendah (1-3 bintang) ke formulir umpan balik pribadi di AI-Gat-Bot[.]Pro domain, saat mengirim mereka yang memberikan peringkat tinggi (4-5 bintang) ke halaman ulasan toko web chrome resmi.
