Pakar Mengungkap 350 Varian Ekstensi Browser yang Digunakan dalam Kampanye Adware ABCsoup

  • Bagikan
ABCsoup Adware Campaign

Beritaini.top Pakar Mengungkap 350 Varian Ekstensi Browser yang Digunakan dalam Kampanye Adware ABCsoup

Kampanye Adware ABCsoup

Ekstensi browser berbahaya dengan 350 varian menyamar sebagai add-on Google Terjemahan sebagai bagian dari kampanye adware yang menargetkan pengguna Rusia browser Google Chrome, Opera, dan Mozilla Firefox.

Perusahaan keamanan seluler Zimperium menjuluki keluarga malware sup ABCmenyatakan “ekstensi diinstal ke mesin korban melalui eksekusi berbasis Windows, melewati sebagian besar solusi keamanan titik akhir, bersama dengan kontrol keamanan yang ditemukan di toko ekstensi resmi.”

Pengaya peramban jahat datang dengan ID ekstensi yang sama dengan yang ada di Google Terjemahan — “aapbdbdomjkkjkaonfhkkikfgjllcleb” — dalam upaya mengelabui pengguna agar percaya bahwa mereka telah memasang ekstensi yang sah.

Ekstensi tidak tersedia di toko web browser resmi itu sendiri. Melainkan dikirimkan melalui executable Windows yang berbeda yang menginstal add-on pada browser web korban.

Jika pengguna yang ditargetkan sudah menginstal ekstensi Google Terjemahan, itu akan menggantikan versi asli dengan varian berbahaya karena nomor versi yang lebih tinggi (30.2.5 vs 2.0.10).

Kampanye Adware ABCsoup

“Selanjutnya, ketika ekstensi ini dipasang, Toko Web Chrome menganggap bahwa itu adalah Google Terjemahan dan bukan ekstensi berbahaya karena Toko Web hanya memeriksa ID ekstensi,” peneliti Zimperium Nipun Gupta dikatakan.

Semua varian ekstensi yang diamati diarahkan untuk menayangkan pop-up, mengumpulkan informasi pribadi untuk menayangkan iklan spesifik target, pencarian sidik jari, dan menyuntikkan JavaScript berbahaya yang selanjutnya dapat bertindak sebagai spyware untuk menangkap penekanan tombol dan memantau aktivitas browser web.

Fungsi utama ABCsoup mencakup pemeriksaan layanan jejaring sosial Rusia seperti Odnoklassniki dan VK di antara situs web saat ini yang dibuka di browser, dan jika demikian, kumpulkan nama depan dan belakang pengguna, tanggal lahir, dan jenis kelamin, dan kirimkan data ke server jarak jauh.

Keamanan cyber

Malware tidak hanya menggunakan informasi ini untuk menayangkan iklan yang dipersonalisasi, ekstensi ini juga dilengkapi dengan kemampuan untuk memasukkan kode JavaScript khusus berdasarkan situs web yang dibuka. Ini termasuk YouTube, Facebook, ASKfm, Mail.ru, Yandex, Rambler, Avito, Znanija, Kismia, dan rollApp Brainly, yang menunjukkan fokus Rusia yang berat.

Zimperium mengaitkan kampanye tersebut dengan “grup yang terorganisir dengan baik” yang berasal dari Eropa Timur dan Rusia, dengan ekstensi yang dirancang untuk memilih pengguna Rusia yang diberikan berbagai macam domain lokal yang ditampilkan.

“Malware ini sengaja dirancang untuk menargetkan semua jenis pengguna dan berfungsi untuk mengambil informasi pengguna,” kata Gupta. “Skrip yang disuntikkan dapat dengan mudah digunakan untuk menyajikan perilaku yang lebih berbahaya ke dalam sesi browser, seperti pemetaan keystroke dan eksfiltrasi data.”

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.