KOI Security’nin ürpertici bir keşfi, “RedDirection” olarak adlandırılan ve 11 milyondan fazla kullanıcıyı Google tarafından doğrulanmış krom uzantılarla tehlikeye atan sofistike bir tarayıcı kaçırma kampanyası açığa çıkardı.
Platformlar arasında toplam 2,3 milyon enfeksiyon, doğrulama rozetleri, özellikli yerleşimler ve meşru üretkenlik ve eğlence araçları kisvesi altında kötü amaçlı yazılımları dağıtmak için yüksek yükleme sayımları gibi ek uzantılarla Microsoft Edge’i de kapsayan bu işlem.
RedDirection kampanyasının açıklanması
“Renk Seçici, Gözlü Geco Colorpick”, “Video Hız Denetleyicisi” ve “Emoji Klavyesi” gibi uzantılar suçlular arasındaydı ve gözetim ve yeniden yönlendirme mekanizmalarını gizlice yerleştirirken vaat edilen işlevselliği sağladı.
RedDirection kampanyası, hem Google hem de Microsoft’un uzatma pazarlarından incelemeden kaçan bir taktik olan sessiz güncellemeler yoluyla kötü amaçlı kodlar getirmeden önce yıllarca iyi huylu kalma stratejisi nedeniyle öne çıkıyor.
Kullanıcı müdahalesi olmadan otomatik olarak yüklenen bu güncellemeler, güvenilir araçları her web sitesi ziyaretini izleyebilen, URL’leri yakalayabilen ve kullanıcıları komut ve kontrol (C2) altyapısı gibi hileli sayfalara yönlendirebilen gözetim platformlarına dönüştürdü.
Sofistike kötü amaçlı yazılım dağıtım
KOI Security’nin araştırması, kötü amaçlı yazılımların her sekme güncellemesinde etkinleştirildiğini, uzak sunuculara hassas göz atma verilerini gönderdiğini ve potansiyel potansiyel insan saldırılarını sağladığını ortaya koydu.
Bu, kullanıcıların sahte bankacılık veya yakınlaştırma güncelleme sayfalarına yönlendirilmesi, yanlışlıkla kimlik bilgilerini teslim etme veya daha fazla kötü amaçlı yazılım kurma gibi yıkıcı senaryolara yol açabilir.
Kampanyanın Google’ın doğrulanmış rozetleri ve uzatma başına 100.000’den fazla kurulum gibi güven sinyallerini silahlandırma yeteneği, pazar güvenliğinde kritik bir tedarik zinciri hatasını vurgulamaktadır.
Titiz inceleme yerine ölçek için tasarlanan doğrulama süreçleri, sadece kötü amaçlı yazılımları tespit etmekle kalmadı, aynı zamanda öne çıkan promosyonlar yoluyla erişimini de artırdı.
Bu tehdidi daha da endişe verici kılan, Discord ve Tiktok gibi platformlar için hava tahminleri, karanlık temalar, hacim güçlendiriciler ve VPN vekilleri gibi kategorileri kapsayan uzantıların çeşitliliğidir.
Her bir uzantı, merkezi bir saldırı altyapısıyla bağlantılarını maskeleyerek tek tek C2 alt alanları ile çalıştırılmıştır.
Bu platformlar arası operasyon, tarayıcı pazarlarının uzatma güncellemelerini ve veterinerlik işlemlerini nasıl ele alarak güvenilir ekosistemleri sofistike kötü amaçlı yazılımlar için dağıtım kanallarına dönüştürdüğü sistemik güvenlik açıklarının altını çizmektedir.
KOI Security, bunun izole bir olay olmadığını, ancak mevcut pazar yerlerinin kırık güvenlik modelini ortaya çıkaran bir havza anı, anında kullanıcı eylemini etkilenen uzantıları kaldırmaya, tarayıcı verilerini temizlemeye ve kötü amaçlı yazılım taramalarını çalıştırmaya çağırıyor.
Tehdit aktörleri uzatılmış dönemlerde hareketsiz altyapı kullanmaya başlarken, üçüncü taraf koduna sağlam yönetişim ve görünürlük ihtiyacı çok önemli hale geldikçe, bir GAP KOI güvenliği, işletme ve uygulayıcı güvenliği için platformuyla ele almayı amaçlamaktadır.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Gösterge |
|---|---|
| Krom Uzatma Kimlikleri | Kgmeffmlnkfnjpgmdndccklfigfhajen, dpdibkjgbaadnnjhkmmnkmbhmdbdclbnlf, mlgbkfnjdglf, mlgbkfnjdmagagamcnommbbkfnjdmagagamcnommbbkfnjdmagAgamcnommbbkfnjdmagamgamcnommbbkfnjdmagamgamcnommbkfnjdma EckokfcjbjbgjifpcbdmengnabecDakp, mgbhdehiapbjamfgekfpebmnmcMemg, cbajickflblmpjodnjoldpiicfmecmif, pdbfcnhlobhoahcamoefbfbfodfodfodfodfodfodfodfodfodfbfodfbfbfbfbfbfodfbfbfbfbfodfbfbfodpmcmecm, eokjikchkppnkdipbiggnmlkahcdKikp, ihbiedpeaicgipncdnkikeehnjiddckk |
| Ağ Göstergeleri | aday[.]com, edmitab[.]com, click.videocontrolls[.]com, C.Undiscord[.]com, click.darktheme[.]Net, C.Jermikro[.]com, c. suntwitter[.]com, c.unyoutube[.]Net, AdmitClick[.]Net, AddMitad[.]com, kabul edildi[.]com, abmitab[.]com, admitlink[.]açık |
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.