Ekstensi Chrome dibajak dengan serangkaian akun pengembang yang diretas dalam satu bulan terakhir.
Hampir dua minggu yang lalu, kami melaporkan bagaimana penyerang yang tidak dikenal berhasil mengkompromikan akun Toko Web Chrome dari tim pengembang dan membajak ekstensi Copyfish, dan kemudian mengubahnya untuk mendistribusikan korespondensi spam ke pengguna.
Hanya dua hari setelah kejadian itu, beberapa penyerang yang tidak dikenal kemudian membajak ekstensi lain bernama ‘Web Developer‘ dan kemudian memperbaruinya untuk langsung menginjeksikan iklan ke browser web dengan lebih dari 1 juta pengguna.
Menurut laporan terbaru yang dipublikasikan oleh para peneliti di Proofpoint pada hari Senin, daftar ekstensi Chrome yang berhasil dikompromikan adalah sebagai berikut:
- Chrometana (1.1.3)
- Infinity New Tab (3.12.3)
- CopyFish (2.8.5)
- Web Paint (1.2.1)
- Social Fixer (20.1.1)
Peneliti dari Proofpoint, Kafeine juga percaya bahwa ekstensi Chrome TouchVPN dan VPN Betternet juga terganggu dengan cara yang sama pada akhir Juni.
Dalam semua kasus di atas, beberapa penyerang yang tidak dikenal pertama kali memperoleh akses ke akun web Google pengembang dengan mengirimkan email phishing dengan tautan berbahaya untuk mencuri kredensial akun.
Setelah penyerang mendapatkan akses ke akun, mereka membajak ekstensi masing-masing dan kemudian memodifikasinya untuk melakukan tugas jahat, atau menambahkan kode Javascript berbahaya dalam upaya membajak trafik dan mengekspos pengguna ke iklan palsu dan pencurian kata sandi agar menghasilkan pendapatan.
Dalam kasus ekstensi Copyfish, penyerang bahkan memindahkan keseluruhan ekstensi ke salah satu akun pengembangnya, mencegah perusahaan perangkat lunak menghapus ekstensi yang terinfeksi dari toko Chrome, bahkan setelah melihat perilaku penggabungan ekstensi yang salah.
“Ancaman aktor terus mencari cara baru untuk mengarahkan trafik ke program afiliasi dan secara efektif memasang iklan berbahaya kepada pengguna,” para peneliti menyimpulkan. “Dalam kasus yang dijelaskan di sini, mereka memanfaatkan ekstensi Chrome yang disusupi untuk membajak trafik dan iklan pengganti di browser korban.”
“Begitu mereka mendapatkan kredensial pengembang melalui serangan phishing email, mereka dapat menerbitkan versi berbahaya dari ekstensi yang sah.”
Pada saat ini, masih tidak jelas siapa dibalik pembajakan ekstensi Chrome ini.
Cara terbaik untuk melindungi diri dari serangan semacam itu adalah selalu curiga terhadap dokumen tak diundang yang dikirim melalui email phishing dan tidak pernah mengeklik tautan di dalam dokumen tersebut kecuali memverifikasi sumbernya.
