Ekstensi berbahaya di Toko Web Chrome menyamar sebagai mesin penjawab AI Perplexity, mencegat lalu lintas pencarian dan mengumpulkan informasi penjelajahan.
Disebut “Penelusuran untuk kebingungan ai”, ekstensi ini mengarahkan permintaan pencarian dan saran real-time melalui infrastrukturnya sebelum mengarahkan pengguna ke layanan pencarian yang sah.
Peneliti Microsoft Threat Intelligence mengatakan bahwa ekstensi tersebut tidak mencuri kredensial atau informasi sensitif lainnya namun izinnya akan dengan mudah mengizinkannya jika operator memutuskan untuk memperluas cakupan pencurian data.
Ekstensi AI Kebingungan Palsu
Perplexity AI adalah asisten peneliti yang menelusuri web dan menyatukan informasi dalam respons percakapan langsung, alih-alih menampilkan daftar tautan yang dapat diakses pengguna untuk menemukan jawabannya.
Perplexity AI tersedia di web, di perangkat seluler (Android dan iOS), dan sebagai aplikasi desktop, dan ekstensi Chrome resminya diberi nama “Perplexity – AI Search.”
Ekstensi palsu yang ditemukan Microsoft menggunakan merek serupa dan domain “kebingungan-ai[.]online,” bukannya bingung.ai yang sah.
Sumber: Microsoft
Setelah diinstal, ia mengubah pengaturan pencarian browser untuk menggantikan penyedia pencarian default dan meneruskan semua permintaan bilah alamat melalui infrastruktur penyerang.
“Ekstensi ini mengesampingkan setelan penelusuran browser melalui chrome_settings_overrides untuk menggantikan penyedia penelusuran default browser serta mencegat dan mengalihkan semua kueri di Mahakotak browser Chromium ke infrastruktur perantara yang tidak terkait dengan domain vendor resmi,” jelas Microsoft.
Tingkat pengumpulan data ini bukan suatu kebetulan, berdasarkan kode logging yang ditemukan Microsoft di server ekstensi, yang menunjukkan desain yang disengaja.
Ekstensi ini juga meminta izin Chrome yang mengizinkan pengalihan, penulisan ulang URL, dan pemantauan saat aturan dijalankan.
“Ekstensi ini meminta izin DNR yang kuat yang memungkinkan pengalihan lalu lintas, penulisan ulang URL, dan pemfilteran permintaan selektif, yang tidak konsisten dengan perilaku asisten AI yang diharapkan,” para peneliti menyebutkan.
Meskipun Microsoft tidak menemukan bukti bahwa ekstensi tersebut menargetkan kredensial, rutinitas pengumpulan datanya yang terkonfirmasi masih memungkinkan pembuatan profil ekstensif, sehingga menciptakan peluang potensial untuk eksploitasi.
Mereka yang memasang ekstensi dengan ID “flkebkiofojicogddingbdmcmkpbplcd” harus menghapusnya dari browser mereka dan merotasi kata sandi akun penting mereka untuk berhati-hati.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
