Phising Baru Fitur Chrome

Phising Baru Fitur Chrome
Email Security

Popularitas Chrome tidak luput dari perhatian penjahat dunia maya untuk dieksploitasi, jika sebelumnya mereka menggunakan malware untuk menginfeksi Chrome dengan ekstensi berbahaya kali ini phising baru fitur Chrome menjadi teknik mutakhir mereka.

Dengan fitur Mode Aplikasi Chrome memungkinkan pelaku menampilkan formulir login lokal yang muncul sebagai aplikasi desktop, sehingga mempemudah mencuri kredensial.

Fitur Mode Aplikasi tersedia di semua browser berbasis Chromium, termasuk Google Chrome, Microsoft Edge, dan Brave Browser.

Fitur itu dapat menghasilkan layar login yang tampak realistis yang sulit dibedakan dari prompt login yang sah mengelabui banyak mata.

Karena aplikasi desktop umumnya lebih sulit untuk dipalsukan, pengguna cenderung tidak memperlakukannya dengan hati-hati seperti yang mereka lakukan untuk jendela browser yang lebih banyak disalahgunakan untuk phising.

Potensi penggunaan mode aplikasi Chrome dalam serangan phising ditunjukkan oleh peneliti mr.d0x, yang juga merancang serangan “Browser-in-the-Browser” di awal tahun.

Beberapa pelaku ancaman kemudian menggunakan teknik BiTB dalam serangan phising untuk mencuri kredensial.

Fitur Mode Aplikasi Chromium

Mode aplikasi Chrome memungkinkan pengembang web membuat aplikasi web dengan tampilan desktop asli yang cocok untuk ChromeOS atau pengguna yang ingin menikmati antarmuka yang bersih dan minimalis, seperti menonton YouTube.

Mode aplikasi memungkinkan situs web diluncurkan di jendela terpisah yang tidak menampilkan bilah alamat URL, bilah alat peramban, dll., sedangkan Bilah Tugas Windows menampilkan favicon situs web alih-alih ikon Chrome.

Hal ini dapat memungkinkan pelaku untuk membuat formulir login desktop palsu, dan jika pengguna tidak dengan sengaja meluncurkan aplikasi ini, hal itu dapat menyebabkan serangan phising yang licik.

Menyalahgunakan mode aplikasi dalam serangan

Untuk melakukan serangan menggunakan teknik ini, pelaku harus terlebih dahulu meyakinkan pengguna untuk menjalankan pintasan Windows yang meluncurkan URL phising menggunakan fitur Mode Aplikasi Chromium.

Setelah Microsoft mulai menonaktifkan makro secara default di Office, pelaku telah beralih ke serangan phising baru yang terbukti sangat berhasil.

Metode yang umum digunakan adalah mengirim email pintasan Windows (.LNK) di arsip ISO untuk mendistribusikan QBot, BazarLoader, BumbleBee, dan lainnya.

Namun, menginstal malware sangat bising dan dapat dengan mudah dideteksi oleh perangkat lunak keamanan yang berjalan di mesin. Di sisi lain, membuka browser ke URL phising baru kemungkinan kecil akan terdeteksi.

Dengan Microsoft Edge sekarang diinstal di Windows 10 dan yang lebih baru secara default, lebih mudah untuk melakukan serangan ini, karena pelaku ancaman dapat dengan mudah mendistribusikan file pintasan Windows yang meluncurkan Microsoft Edge.

Meskipun ini memerlukan akses ke mesin target, yang merupakan prasyarat kuat, ini bukan satu-satunya cara untuk menyalahgunakan mode aplikasi Chrome.

Metode Lain

Pelaku dapat menggunakan file HTML portabel untuk meluncurkan serangan, menyematkan parameter “-app” untuk menunjuk ke situs phising dan mendistribusikan file ke target.

Bergantung pada kasus penggunaan, pelaku juga dapat menggunakan teknik Browser-in-the-Browser untuk menyisipkan bilah alamat palsu dengan menambahkan HTML/CSS yang diperlukan,

Dan membuat klon perangkat lunak, seperti, misalnya, Microsoft 365, Microsoft Teams , atau bahkan permintaan login VPN.

Peneliti juga mengklaim kemungkinan untuk meluncurkan serangan pada macOS dan Linux menggunakan perintah yang sesuai untuk sistem operasi ini.

“/Applications/Google Chrome.app/Contents/MacOS/Google Chrome” –app=https://example.com

Jendela phising juga dapat menerima perintah tindakan melalui JavaScript, seperti menutup setelah pengguna memasukkan kredensial login mereka, menerima permintaan pengubahan ukuran jendela, atau merender pada posisi tertentu di layar.

Potensi serangan terbatas karena persyaratan bahwa mode aplikasi Chromium diluncurkan secara lokal di perangkat. Akses lokal ini berarti bahwa sudah ada beberapa tingkat kompromi perangkat.

Namun, begitu pelaku mengelabui target untuk meluncurkan pintasan Windows, potensi serangan phising tingkat lanjut hanya dibatasi oleh kreativitas peretas.

Bacaan lainnya:

Sumber berita:

Prosperita IT News