memblokir serangkaian add-on berbahaya pada browser Chrome, yang memengaruhi beberapa juta pengguna. Pada tahap pertama, peneliti independen Jamila Kaya () dan Duo Security telah mengidentifikasi 71 add-on berbahaya di Toko Web Chrome. Secara total, add-on ini berjumlah lebih dari 1.7 juta instalasi. Setelah memberi tahu Google tentang masalah tersebut, lebih dari 430 add-on serupa ditemukan di katalog, jumlah pemasangannya tidak dilaporkan.
Khususnya, meskipun jumlah instalasinya sangat besar, tidak ada satu pun add-on bermasalah yang mendapat ulasan dari pengguna, sehingga menimbulkan pertanyaan tentang bagaimana add-on tersebut dipasang dan bagaimana aktivitas berbahaya tidak terdeteksi. Semua add-on yang bermasalah kini telah dihapus dari Toko Web Chrome.
Menurut para peneliti, aktivitas jahat terkait dengan add-on yang diblokir telah berlangsung sejak Januari 2019, namun masing-masing domain yang digunakan untuk melakukan tindakan jahat telah didaftarkan kembali pada tahun 2017.
Sebagian besar, add-on berbahaya disajikan sebagai alat untuk mempromosikan produk dan berpartisipasi dalam layanan periklanan (pengguna melihat iklan dan menerima royalti). Add-on tersebut menggunakan teknik pengalihan ke situs yang diiklankan saat membuka halaman, yang ditampilkan dalam rantai sebelum menampilkan situs yang diminta.
Semua add-on menggunakan teknik yang sama untuk menyembunyikan aktivitas jahat dan melewati mekanisme verifikasi add-on di Toko Web Chrome. Kode untuk semua add-on hampir sama di tingkat sumber, kecuali nama fungsi, yang unik di setiap add-on. Logika berbahaya dikirimkan dari server kontrol terpusat. Awalnya, add-on terhubung ke domain yang memiliki nama yang sama dengan nama add-on (misalnya Mapstrek.com), setelah itu dialihkan ke salah satu server kontrol, yang menyediakan skrip untuk tindakan lebih lanjut .
Beberapa tindakan yang dilakukan melalui add-on termasuk mengunggah data rahasia pengguna ke server eksternal, meneruskan ke situs jahat, dan terlibat dalam instalasi aplikasi jahat (misalnya, pesan ditampilkan bahwa komputer terinfeksi dan malware ditawarkan di bawah berkedok pembaruan antivirus atau browser). Domain tempat pengalihan dilakukan mencakup berbagai domain phishing dan situs untuk mengeksploitasi browser yang belum diperbarui yang berisi kerentanan yang belum ditambal (misalnya, setelah eksploitasi, upaya dilakukan untuk menginstal malware yang mencegat kunci akses dan menganalisis transfer data rahasia melalui clipboard).
Sumber: opennet.ru