Busted: Operasi malware besar menargetkan ekstensi Google Chrome
Sementara dia melakukan beberapa tugas rutin pada suatu hari yang berhubungan dengan pekerjaannya terus-menerus berburu ancaman digital online, peneliti keamanan Jamila Kaya menemukan yang pertama dalam serangkaian ekstensi Google Chrome berbahaya yang akan memicu penyelidikan dua bulan dan mengarah ke penyelidikan. penghapusan lebih dari 500 ekstensi oleh Google dari toko web-nya. Sayangnya, lebih dari 1,7 juta pengguna Chrome telah menginstal sejumlah ekstensi pertama yang ia temukan, yang memberikan urgensi untuk penyelidikan ini – hasilnya telah diungkapkan dalam laporan yang baru diterbitkan tentang apa yang ternyata merupakan operasi malware besar yang aktif setidaknya selama dua tahun.
Setelah penemuan pertamanya, Kaya menghubungi tim keamanan Duo di Cisco, menurut laporan itu. Dia menghubungi mereka tentang berbagai ekstensi Chrome yang dia temukan di peramban yang terinfeksi itu dan akan "memeras data sebagai bagian dari kampanye yang lebih besar."
"Ekstensi ini biasanya disajikan sebagai penawaran iklan sebagai layanan," catatan laporan tersebut. “Jamila menemukan mereka adalah bagian dari jaringan plugin copycat yang berbagi fungsionalitas yang hampir sama. Melalui kolaborasi, kami dapat mengambil beberapa lusin ekstensi dan menggunakan CRXcavator.io untuk mengidentifikasi 70 pencocokan pola mereka di 1,7 juta pengguna dan meningkatkan kekhawatiran ke Google. "
Tim Duo selanjutnya menjelaskan bahwa aktor jahat semakin menggunakan aktivitas internet yang sah untuk mengaburkan tindakan jahat mereka, salah satu saluran paling populer adalah penggunaan cookie iklan dan pengalihan di dalamnya. Ini adalah teknik yang disebut "malvertising" yang secara mengejutkan sulit dideteksi. "Malvertising sering terjadi dalam program lain, bertindak sebagai kendaraan untuk berbagai bentuk kegiatan penipuan, termasuk penipuan iklan, pengelupasan data, phishing, dan pemantauan dan eksploitasi," lanjut laporan itu. "Atau, itu juga muncul dalam kampanye jahat multipartai yang melibatkan pengumpulan dan penipuan iklan."
Kode dalam ekstensi berbahaya ini kadang-kadang akan mengarahkan pengguna ke tautan afiliasi di situs-situs seperti Best Buy atau Macy. Di lain waktu, tujuan mungkin adalah situs pengunduhan untuk malware. Para peneliti mengatakan Google responsif ketika mereka meningkatkan masalah itu kepada mereka, dan seorang juru bicara Google mengatakan bahwa itu selalu mengambil tindakan ketika komunitas peneliti memberitahukannya kepada masalah yang melanggar kebijakan perusahaan. Selain itu, Google mengatakan melakukan "sweeping reguler untuk menemukan ekstensi" mirip dengan ini yang menggunakan teknik, kode, dan perilaku yang sebanding.
Sumber Gambar: Valentin Wolf / imageBROKER / Shutterstock
Andy adalah seorang reporter di Memphis yang juga berkontribusi ke outlet seperti Fast Company dan The Guardian. Ketika dia tidak menulis tentang teknologi, dia dapat ditemukan membungkuk melindungi koleksi vinilnya yang sedang berkembang, serta merawat Whovianism-nya dan makan di berbagai acara TV yang mungkin tidak Anda sukai.
