Hanya tiga bulan setelah peneliti Princeton memperingatkan pengguna tentang bahaya serangan “replay sesi”, pengembang ekstensi Chrome berbahaya telah memasukkan “trik” ini ke “rilis terbaru” mereka.

Istilah “sesi replay” mengacu pada kode JavaScript yang mencatat aktivitas pengguna dan kemudian memainkannya kembali secara detail. Selama beberapa tahun terakhir, perusahaan analisis web telah menambahkan dukungan untuk fitur “replay sesi” di dasbor mereka, yang memungkinkan pemilik situs web menganalisis bagaimana pengguna memanfaatkan situs web mereka. Ini adalah alat pengujian A/B yang berharga jika digunakan untuk alasan yang sah.

Crooks menyalahgunakan skrip “sesi replay” Yandex Metrica

Selama beberapa minggu terakhir, beberapa ekstensi Chrome berbahaya telah mulai menyematkan library JavaScript yang disediakan oleh penyedia analisis web Yandex Metrica, yang mencatat tindakan pengguna di semua situs yang mereka kunjungi.

Sementara Yandex Metrica tidak merekam teks yang dimasukkan dalam bidang kata sandi, naskah masih dapat mencatat berbagai jenis rincian, seperti nama, nomor kartu kredit, nomor CVV, alamat email, dan nomor telepon.

Berikut adalah GIF dari apa yang oleh operator dari rangkaian Chrome berbahaya ini saat mengulang sesi pengguna.

 

Saat artikel ini dipublikasi, ditemukan 89 dari ekstensi Chrome berbahaya ini, yang memiliki jumlah pemasangan total lebih dari 423.000.

Perusahaan keamanan cyber AS telah menerbitkan daftar berisi 58 ekstensi Chrome berbahaya. Jika kalian memasang salah satu atau semua ekstensi tersebut, kalian dapat menggunakan daftar tersebut untuk petunjuk dan menyingkirkan ancaman.

Ekstensi dibuat oleh grup yang sama – Droidclub

Trend Micro percaya bahwa ekstensi ini dibuat oleh grup yang sama dan melacak keseluruhan operasi sebagai Droidclub, setelah menemukan nama domain salah satu server command-and-control (droidclub[.]net).

Ekstensi ini memiliki infrastruktur server C&C karena skrip rekaman/replay sesi bukan satu-satunya kode berbahaya yang mereka gunakan di browser Chrome korban.

Tujuan utama dari ekstensi ini adalah untuk menginjeksikan iklan di semua halaman yang dilihat pengguna, dan menghasilkan keuntungan bagi Droidclub.

Versi yang lebih tua dari ekstensi ini juga memasang skrip cryptojacking Coinhive yang menambang Monero menggunakan CPU, namun skrip Coinhive telah dihapus dalam versi yang lebih baru.

Ekstensi mudah dikenali dan dihindari

Semua ekstensi ini mengikuti pola yang sama, menggunakan nama acak dan deskripsi tidak masuk akal. Dari pengamatan Error 404 Cyber News, sebagian besar ekstensi ini tidak bertahan lebih dari satu hari, dengan tim Chrome mengeluarkannya dari Toko Web resmi sebelum mereka dapat melakukan lebih banyak kerusakan.

Droidclub biasanya mengandalkan malvertising untuk mengarahkan trafik ke halaman arahan dimana ia menggunakan social engineering untuk mengelabui pengguna agar memasang ekstensi berbahaya ini. Jika kamu melihat halaman yang terlihat seperti berikut ini… segera tutup tab!