100.000’den fazla kurulum ve doğrulanmış rozet durumuna sahip bir Chrome VPN uzantısı, sofistike casus yazılım olarak işletilen, sürekli olarak kullanıcı ekran görüntüleri yakalayan ve rızası olmadan hassas verileri püskürtmek keşfedildi.
Freevpn.one olarak bilinen uzantı, belirtilen gizlilik vaatleriyle doğrudan çelişen kapsamlı gözetim yeteneklerini gizlice uygularken, meşru bir gizlilik aracı olarak maskelendi.
.webp)
Kötü niyetli uzantı, Google’ın Chrome Web Store aracılığıyla ön plana çıktı, kullanıcıların ziyaret ettiği her web sayfası ekran görüntülerini yakalayan arka kapı işlevselliğinin uygulanmasına rağmen öne çıkan yerleşim ve doğrulanmış duruma ulaştı.
Gizlilik koruması sağlama kisvesi altında faaliyet gösteren Uzatma, tüm tarama oturumlarında kullanıcı etkinliğini sessizce izleyen, bankacılık kimlik bilgileri, kişisel iletişim ve özel belgeler de dahil olmak üzere hassas bilgileri yakalayan aldatıcı iki aşamalı bir mimari kullanır.
.webp)
KOI.Security analistleri, uzantının meşru VPN hizmetinden casus yazılımlara evriminin, geliştiricilerin kapsamlı veri toplama özelliklerini sağlayan geniş izinler getirdikleri Nisan 2025’te başlayan bir dizi hesaplanmış güncelleme yoluyla gerçekleştiğini belirtti.
.webp)
Güvenlik araştırmacıları, gizlilik bilincine sahip kullanıcılar arasında uzantının doğrulanmış durumu ve yaygın olarak benimsenmesi göz önüne alındığında, dönüşümü özellikle ilgili olarak belirlediler.
Gözetim kampanyası, hassas kurumsal veriler, finansal bilgiler ve kişisel iletişim içeren yakalanan ekran görüntüleri, tehdit aktörleri tarafından kontrol edilen uzak sunuculara aktarılan kullanıcıları etkilemektedir.
Uzantının kullanıcıların tarayıcılarındaki ayrıcalıklı konumu, tüm tarama etkinliğine sınırsız erişim sağlar ve tamamen kullanıcı bilgisi veya rızası olmadan tamamen çalışan kapsamlı bir zeka toplama işlemi oluşturur.
Teknik Uygulama ve Kaçınma Mekanizmaları
Uzatma, genişliği kullanarak tüm HTTP ve HTTPS web sitelerinde otomatik olarak dağıtılan gelişmiş bir içerik komut dosyası enjeksiyon sistemi aracılığıyla gözetim yeteneklerini uygular. matches: ["http://*/*", "https://*/*"] model.
Sayfa yükü başlatma üzerine, kötü amaçlı kod kesin olarak zamanlanmış bir gecikme mekanizması yürütür:-
setTimeout(() => {
chrome.runtime.sendMessage({action: 'captureViewport'});
}, 1100);Bu kod, ekran görüntüsü yakalamasını tetiklemeden önce sayfanın başlatılmasından tam olarak 1.1 saniye sonra bekler ve maksimum veri kalitesi için tam sayfa oluşturma sağlar.
.webp)
Arka Plan Servisi Çalışanı, CaptureViewPort mesajını alır ve Chrome’un ayrıcalıklığını kullanarak gerçek ekran görüntüsü yakalamasını yürütür chrome.tabs.captureVisibleTab() API, yakalanan görüntüleri otomatik olarak ileten aitd[.]one/brange.php Sayfa URL’leri, sekme tanımlayıcıları ve benzersiz kullanıcı izleme kodlarının yanı sıra.
Son sürümler, veri iletimini gizlemek için RSA anahtar sarma ile AES-256-GCM şifrelemesini uygular ve ağ tabanlı algılamayı önemli ölçüde daha zor hale getirir.
Şifreleme katmanı, genişlemenin gözetim yeteneklerini korurken sürekli ekran görüntüsü eksfiltrasyonunu maskeler, bu da tehdit aktörlerinin kalıcılık ve tespit kaçakçılığına olan bağlılığını gösterir.
Uzantının izin yapısı gerektirir tabsVe scripting Meşru VPN işlevsellik gereksinimlerinin çok ötesine uzanan ve tam kullanıcı etkinliği izlemesini sağlayan kapsamlı bir gözetim çerçevesi oluşturma izinleri.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.