- Koi Security menemukan 17 ekstensi Firefox berbahaya yang menyembunyikan pintu belakang dan kode pelacakan, diunduh lebih dari 50.000 kali
- Ekstensi tersebut menarik muatan dari server jarak jauh, membajak tautan afiliasi, menyuntikkan pelacak, menghapus header keamanan, dan mengaktifkan mekanisme penipuan iklan
- Mozilla menghapus semua add-on yang terpengaruh dan memperbarui sistem deteksi; pengguna harus menghapus instalasinya dan mengamankan akun
Lebih dari selusin ekstensi Firefox ditemukan berbahaya, memasang pintu belakang (backdoor) dan melacak kebiasaan browsing pengguna, demikian peringatan para ahli.
Hal ini menurut peneliti keamanan dari Koi Security, yang menamakan kampanye tersebut “GhostPoster”, dan mengatakan bahwa beberapa ekstensi ini memiliki cara yang agak unik untuk mengambil kode berbahaya.
Secara total, ekstensi ini diunduh lebih dari 50.000 kali.
Membajak tautan afiliasi
Berikut daftar lengkap yang ditemukan sejauh ini:
vpn-gratis-selamanya
tangkapan layar-disimpan-mudah
prakiraan cuaca terbaik
gerakan crxmouse
pemuat situs cepat-cache
pengunduh mp3 gratis
google-terjemahkan-klik kanan
google-penerjemah-esp
vpn di seluruh dunia
pembaca gelap-untuk-ff
penerjemah-gbbd
aku-suka-cuaca
google-translate-pro-ekstensi
Google-Terjemahkan
libretv-tonton-video-gratis
penghentian iklan
klik kanan-google-translate
Beberapa ekstensi ini sebenarnya menyimpan kode JavaScript berbahaya di logo PNG. Kode tersebut berfungsi sebagai instruksi tentang cara mengunduh payload utama dari server jarak jauh. Untuk mempersulit pendeteksian dan atribusi, penyerang membuat ekstensi mengunduh payload utama sebanyak 10%.
Muatan utama dapat melakukan segala macam hal. Pertama dan terpenting, ia membajak tautan afiliasi di situs e-niaga besar – mencuri uang langsung dari pembuat konten.
Kemudian, ia memasukkan pelacakan Google Analytics ke setiap halaman yang dikunjungi pengguna, dan menghapus header keamanan dari semua respons HTTP.
Terakhir, ia dapat melewati CAPTCHA menggunakan tiga mekanisme terpisah, dan dapat memasukkan iframe yang tidak terlihat, yang sebagian besar digunakan untuk penipuan iklan, penipuan klik, dan pelacakan. Iframe ini akan hancur dengan sendirinya setelah sekitar 15 detik.
Meskipun mencuri uang dari afiliasi dan mengawasi perilaku pengguna jelas merupakan masalah serius, para peneliti memperingatkan bahwa kampanye ini bisa menjadi lebih merusak kapan saja, jika penyerang memutuskan untuk mulai mengambil kata sandi, atau mengarahkan pengguna ke halaman login bank palsu dan situs phishing serupa.
Setelah berita tersiar, Mozilla menyelidiki laporan tersebut dan memutuskan untuk menghapus semua ekstensi yang ditemukan darinya peramban toko.
“Tim add-on kami telah menyelidiki laporan ini dan sebagai hasilnya, telah mengambil tindakan untuk menghapus semua ekstensi ini dari AMO,” kata perusahaan tersebut kepada BleepingComputer. “Kami telah memperbarui sistem otomatis kami untuk mendeteksi dan memblokir ekstensi yang menggunakan serangan serupa sekarang dan di masa depan. Kami terus meningkatkan sistem kami ketika serangan baru muncul.”
Jika Anda menggunakan salah satu ekstensi ini, Anda harus segera menghapusnya dan mengamankan akun penting Anda.
Melalui BleepingComputer
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
