Peneliti Temukan Ekstensi Chrome Yang Bajak Browser Pengguna

Cyberthreat.id – Para peneliti di Guardio Labs mengungkapkan bahwa pihaknya menemukan kampanye malvertizing baru, yang mendorong ekstensi Google Chrome yang membajak pencarian dan memasukkan tautan afiliasi ke dalam laman web.

Dikutip dari Bleeping Computer, peneliti menemukan kampanye yang disebut sebagai “Dormant Colors” pada pertengahan Oktober 2022, 30 varian ekstensi browser tersedia di toko web Chrome dan Edge, dan telah diunduh lebih dari satu juta pemasangan.

Peneliti menjelaskan, infeksi dimulai dengan iklan atau pengalihan ketika mengunjungi halaman web yang menawarkan video atau unduhan. Namun, ketika mencoba mengunduh program atau menonton video, Anda diarahkan ke situs lain yang menyatakan bahwa Anda harus memasang ekstensi untuk melanjutkan, seperti yang ditunjukkan di bawah ini.

“Ketika pengunjung mengklik tombol “OK” atau “Continue”, mereka kemudian diminta untuk memasang ekstensi pengubah warna yang tampak tidak berbahaya,” kata peneliti Guardio Labs dalam laporan terbarunya.

Ketika ekstensi ini pertama kali diinstal, mereka akan mengarahkan pengguna ke berbagai halaman yang memuat skrip berbahaya yang menginstruksikan ekstensi tentang cara melakukan pembajakan pencarian dan di situs apa yang akan menyisipkan tautan afiliasi.

"Yang pertama secara dinamis membuat elemen pada halaman saat berusaha mati-matian untuk mengaburkan panggilan API JavaScript," jelas laporan Guardio.

Kedua elemen HTML tersebut (colorstylecsse dan colorrgbstylesre) menyertakan konten (InnerText) yang untuk yang pertama adalah daftar string dan regex yang dipisahkan '#' dan yang terakhir adalah daftar 10k+ domain yang dipisahkan koma. Untuk menyelesaikannya, itu juga memberikan URL baru ke objek lokasi sehingga Anda diarahkan ke iklan yang menyelesaikan alur ini karena itu hanyalah popup iklan lainnya.

“Saat melakukan pembajakan penelusuran, ekstensi akan mengalihkan kueri penelusuran untuk mengembalikan hasil dari situs yang berafiliasi dengan pengembang ekstensi, sehingga menghasilkan pendapatan dari tayangan iklan dan penjualan data penelusuran,” kata peneliti.

Dormant Colors melampaui ini dengan juga membajak penjelajahan korban pada daftar 10.000 situs web yang ekstensif dengan secara otomatis mengarahkan pengguna ke halaman yang sama tetapi kali ini dengan tautan afiliasi ditambahkan ke URL. Setelah tag afiliasi ditambahkan ke URL, setiap pembelian yang dilakukan di situs akan menghasilkan komisi untuk pengembang.

Para peneliti juga memperingatkan bahwa menggunakan teknik pemuatan sisi kode berbahaya yang sama, operator Dormant Colors dapat mencapai hal-hal yang berpotensi lebih buruk daripada afiliasi pembajakan.

Para peneliti mengatakan adalah mungkin untuk mengarahkan korban ke halaman phishing untuk mencuri kredensial untuk Microsoft 365, Google Workspace, situs bank, atau platform media sosial. Meskipun tidak ada tanda-tanda bahwa kampanye melakukan perilaku yang lebih berbahaya ini, para peneliti mengatakan itu dapat diaktifkan hanya dengan memuat skrip tambahan dari samping.

Ekstensi dan situs web yang tercantum di bagian IoC laporan telah dihapus/dialihkan, tetapi para peneliti memperingatkan bahwa operasi tersebut terus diperbarui dengan nama dan domain add-on baru.