Kampanye serangan baru telah menargetkan ekstensi browser Chrome yang diketahui, menyebabkan setidaknya 16 ekstensi disusupi dan membuat lebih dari 600.000 pengguna terpapar data dan pencurian kredensial.
Serangan tersebut menargetkan penerbit ekstensi browser di Toko Web Chrome melalui kampanye phishing dan menggunakan izin akses mereka untuk memasukkan kode berbahaya ke dalam ekstensi yang sah untuk mencuri cookie dan token akses pengguna.
Perusahaan pertama yang diketahui terekspos adalah perusahaan keamanan siber Cyberhaven.
Pada tanggal 27 Desember, Cyberhaven mengungkapkan bahwa pelaku ancaman menyusupi ekstensi browsernya dan menyuntikkan kode berbahaya untuk berkomunikasi dengan server Command and Control (C&C) eksternal yang terletak di domain cyberhavenext.[.]pro, unduh file konfigurasi tambahan, dan ekstrak data pengguna.
“Ekstensi browser adalah inti dari keamanan web,” kata Or Eshed, CEO LayerX Security, yang berspesialisasi dalam keamanan ekstensi browser. “Meskipun kami cenderung menganggap ekstensi browser tidak berbahaya, dalam praktiknya, ekstensi tersebut sering kali diberikan izin ekstensif terhadap informasi sensitif pengguna seperti cookie, token akses, informasi identitas, dan banyak lagi.
“Banyak organisasi bahkan tidak mengetahui ekstensi apa yang telah mereka pasang di titik akhir mereka, dan tidak menyadari sejauh mana paparan mereka,” kata Eshed.
Setelah berita tentang pelanggaran Cyberhaven tersebar, ekstensi tambahan yang juga disusupi dan berkomunikasi dengan server C&C yang sama dengan cepat diidentifikasi.
Jamie Blasco, CTO perusahaan keamanan SaaS Nudge Security, mengidentifikasi domain tambahan yang memiliki alamat IP yang sama dengan server C&C yang digunakan untuk pelanggaran Cyberhaven.
Ekstensi browser tambahan yang saat ini dicurigai telah disusupi meliputi:
- Asisten AI – ChatGPT dan Gemini untuk Chrome
- Ekstensi Obrolan AI Bard
- Ringkasan GPT 4 dengan OpenAI
- Cari Asisten Copilot AI untuk Chrome
- Asisten AI TinaMInd
- Jauh di AI
- VPNCity
- VPN Internxt
- Perekam Video Vindoz Flex
- Pengunduh Video VidHelper
- Tandai Pengubah Favicon
- jarak
- suara
- Modus Pembaca
- Pembicaraan Burung Beo
- Primus
Ekstensi tambahan yang disusupi ini menunjukkan bahwa Cyberhaven bukanlah target yang hanya terjadi satu kali saja, melainkan bagian dari kampanye serangan berskala luas yang menargetkan ekstensi browser yang sah.
Analisis terhadap Cyberhaven yang disusupi menunjukkan bahwa kode berbahaya tersebut menargetkan data identitas dan token akses akun Facebook, dan khususnya akun bisnis Facebook:
 |
| Data pengguna yang dikumpulkan oleh ekstensi browser Cyberhaven yang disusupi (sumber: Cyberhaven) |
Cyberhaven mengatakan bahwa versi berbahaya dari ekstensi browser tersebut telah dihapus sekitar 24 jam setelah diluncurkan. Beberapa ekstensi lain yang terekspos juga telah diperbarui atau dihapus dari Toko Web Chrome.
Namun, fakta bahwa ekstensi tersebut telah dihapus dari toko Chrome tidak berarti bahwa paparannya telah berakhir, kata Or Eshed. “Selama versi ekstensi yang disusupi masih aktif di titik akhir, peretas masih dapat mengaksesnya dan mengambil data,” katanya.
Peneliti keamanan terus mencari ekstensi tambahan yang terekspos, namun kecanggihan dan cakupan kampanye serangan ini telah meningkatkan tantangan bagi banyak organisasi dalam mengamankan ekstensi browser mereka.
