Credit image: Freepix
Hacker Ubah Notifikasi Browser Jadi Alat Phising – Para pelaku kejahatan siber kini memiliki alat baru yang sangat mudah digunakan untuk mengubah peringatan browser Anda yang biasanya sah menjadi vektor untuk serangan phising.
Alat ini, yang dijuluki Matrix Push, yakni framework Command and Control (C2) yang dirancang untuk menginfeksi pengguna dengan malware melalui notifikasi browser asli mereka.
Menurut laporan dari peneliti keamanan, melalui antarmuka yang modern, hacker kini dapat mendesain notifikasi yang dikirim langsung ke korban dari browser yang sah, namun isinya mengarahkan ke situs web berbahaya.
Memanfaatkan Notifikasi Browser untuk Phising
Matrix Push hadir dengan templat notifikasi dan halaman landing palsu yang meniru merek-merek terkenal seperti PayPal, MetaMask, Cloudflare, TikTok, Netflix, dan lainnya.
Penyerang dapat dengan bebas mengirimkan notifikasi kepada pengguna yang berisi:
- Peringatan login yang tidak biasa, seolah-olah datang dari PayPal.
- Peringatan keamanan dari dompet kripto seperti MetaMask.
- Pesan kesalahan palsu dari Cloudflare.
Dari dashboard Matrix Push, penyerang dapat melacak data penting korban secara real time, seperti:
- Jumlah total korban.
- Lokasi geografis.
- Alamat IP.
- Jenis dan versi browser.
- Sistem operasi (OS) yang digunakan.
- Hingga dompet cryptocurrency yang pernah mereka gunakan.
Data real time ini, termasuk status online korban, memungkinkan penyerang menyerang pada saat korban paling mungkin merespons peringatan palsu.
|
Baca juga: Ratusan Ribu Ekstensi Browser Bermasalah |
Senjata Phising yang Menggunakan API Legal
Bagi penyerang, bagian tersulit dalam menggunakan Matrix Push hanyalah membuat pengguna mengaktifkan izin notifikasi di awal.
- Melalui rekayasa sosial atau cara lain yang diperlukan, penyerang harus memancing korban ke situs web yang dikontrol atau dikompromikan.
- Situs berbahaya tersebut, sama seperti situs sah lainnya, menggunakan Application Programming Interface (API) notifikasi browser untuk meminta izin pengiriman notifikasi push.
- Jika pengguna memberikan izin tersebut, situs berbahaya mendaftarkan service worker, membuat langganan Push API, dan mengirimkan data tersebut kembali ke alat C2 Matrix Push.
Karena API dan proses ini adalah standar di semua browser utama, Matrix Push berfungsi dengan baik terlepas dari browser atau sistem operasi apa pun yang digunakan korban.
Mengapa Sulit Dideteksi?
Setelah semua proses ini selesai, penyerang dapat memasukkan pesan phising melalui fungsi notifikasi asli browser, tanpa membunyikan alarm keamanan.
Peneliti menjelaskan, browser mengizinkan perilaku ini karena dari sudut pandang browser, pengguna telah memberikan izin notifikasi secara eksplisit.
Dan API yang digunakan sepenuhnya sah. Notifikasi dikirimkan menggunakan lalu lintas push terenkripsi normal melalui layanan push vendor browser.
Tidak ada binary berbahaya atau exploit yang terlibat. Alat keamanan umumnya tidak menandai aktivitas ini karena terlihat identik dengan notifikasi situs web sehari-hari.
Dan satu-satunya komponen berbahaya adalah konten pesan atau tautan tujuan, yang dapat berotasi terlalu cepat bagi pendeteksi tradisional untuk mengimbanginya,
|
Baca juga: Malware Mengunci Browser Curi Kredensial |
Model Berlangganan yang Fleksibel
Matrix Push baru muncul di kanal Telegram dan forum Dark Web bulan lalu. Ia dijual di kalangan kejahatan siber menggunakan model harga berlangganan berjenjang, mulai dari $150 (dalam cryptocurrency) per bulan hingga $1.500 untuk langganan setahun penuh.
Pengembangnya memasarkannya dalam bahasa Inggris kepada aktor ancaman yang termotivasi secara finansial, yang menyiratkan audiens kriminal siber internasional yang luas.
Karena sifatnya yang fleksibel dan tidak bergantung pada platform (platform-agnostik), alat ini kemungkinan akan disukai oleh penyerang yang menargetkan konsumen untuk:
- Pencurian kredensial.
- Penipuan pembayaran.
- Penipuan cryptocurrency.
- Dan operasi rekayasa sosial berskala besar lainnya.
Pertahanan Kolektif Diperlukan
Peneliti berpendapat bahwa menghentikan alat yang cerdik seperti Matrix Push memerlukan upaya terkoordinasi dari pengembang browser, vendor keamanan, administrator jaringan, dan pengguna:
- Pengembang Browser: Dapat menerapkan perlindungan penyalahgunaan yang lebih kuat, seperti sistem reputasi, pencabutan izin otomatis untuk situs yang mencurigakan, dan peringatan yang lebih jelas untuk permintaan notifikasi berisiko tinggi.
- Produk Keamanan: Dapat membantu dengan mendeteksi dan memblokir infrastruktur Matrix Push yang diketahui dan memberikan opsi kepada perusahaan untuk menonaktifkan atau membatasi Web push secara keseluruhan.
- Pengguna dan Administrator: Memainkan peran kunci dengan menghindari persetujuan notifikasi yang tidak perlu dan secara teratur meninjau serta menghapus izin dari situs yang tidak dikenal atau tidak tepercaya.
Sumber berita:
