Bilinmeyen bir tehdit oyuncusu, Şubat 2024’ten bu yana, görünüşte iyi huylu kamu hizmetleri olarak maskelenen, ancak verileri yaymak, komutlar almak ve keyfi kod yürütmek için gizli işlevselliği dahil eden birkaç kötü amaçlı krom tarayıcı uzantısı oluşturmaya bağlanmıştır.
Daintools Intelligence (DTI) ekibi, Hacker Haberleri ile paylaşılan bir raporda, “Aktör, meşru hizmetler, verimlilik araçları, reklam ve medya oluşturma veya analiz asistanları, VPN hizmetleri, kripto, bankacılık ve daha fazlasını, Google’ın Chrome Web Store (CWS) olarak yönlendiren web siteleri oluşturuyor.”
Tarayıcı eklentileri reklamı yapılan özellikleri sunuyor gibi görünse de, kimlik bilgisi ve çerez hırsızlığı, oturum kaçırma, reklam enjeksiyonu, kötü niyetli yönlendirmeler, trafik manipülasyonu ve DOM manipülasyonu yoluyla kimlik avı etkinleştirir.
Uzantıların lehine çalışan bir diğer faktör, manifest.json dosyası aracılığıyla kendilerine aşırı izinler verecek şekilde yapılandırılmış olmaları, tarayıcıda ziyaret edilen her siteyle etkileşime girmelerine, saldırgan kontrollü bir alandan alınan keyfi kodları yürütmelerine, kötü niyetli yeniden yönlendirmeler yapmalarına ve hatta enjekte reklamları yapmalarına izin vermeleridir.
Uzantıların ayrıca, muhtemelen içerik güvenliği politikasını (CSP) atlamak amacıyla kodu yürütmek için geçici bir belge nesne modeli (DOM) öğesindeki “onreset” olay işleyicisine dayandığı bulunmuştur.
Belirlenen cazibe web sitelerinden bazıları, kullanıcıları uzantıları indirmeye ve yüklemeye ikna etmek için Deepseek, Manus, Debank, FortivPN ve site istatistikleri gibi meşru ürün ve hizmetleri taklit eder. Eklentiler daha sonra tarayıcı çerezlerini hasat etmeye devam eder, uzak bir sunucudan keyfi komut dosyaları getirir ve trafik yönlendirmesi için bir ağ vekili olarak hareket etmek için bir WebSocket bağlantısı oluşturur.
Şu anda mağdurların sahte sitelere nasıl yönlendirildiğine dair bir görünür yok, ancak Domaintools yayına kimlik avı ve sosyal medya gibi olağan yöntemleri içerebileceğini söyledi.
Şirket, “Hem Chrome Web Store’da göründüğü hem de bitişik web sitelerinde göründüğü için, normal web aramalarında ve Chrome mağazasında aramalar için sonuç olarak geri dönebilirler.” Dedi. “Lure web sitelerinin birçoğu Facebook izleme kimliklerini kullandı, bu da site ziyaretçilerini çekmek için bir şekilde Facebook / Meta uygulamalarından yararlandıklarını güçlü bir şekilde önerdi. Muhtemelen Facebook sayfaları, gruplar ve hatta reklamlar aracılığıyla.”
Tehdit aktörleri 100’den fazla sahte web sitesi ve kötü amaçlı krom uzantıları kurmasına rağmen, yazma itibariyle kampanyanın arkasında kimin olduğu bilinmemektedir. Google, kendi adına uzantıları düşürdü.
Riskleri azaltmak için, kullanıcıların uzantıları indirmeden önce doğrulanmış geliştiricilere bağlı kalmaları, istenen izinleri incelemeleri, incelemeleri incelemeleri ve benzer uzantıları kullanmaktan kaçınmaları önerilir.
Bununla birlikte, derecelendirmelerin negatif kullanıcı geri bildirimlerini filtreleyerek manipüle edilebileceğini ve yapay olarak şişirilebileceğini de akılda tutmaya değer.
Domaintools, geçen ayın sonlarında yayınlanan bir analizde, DeepSeek’i taklit eden uzantıların, düşük derecelendirmeler (1-3 yıldız) sağlayan kullanıcıları ai-cchat-bot üzerinde özel geri bildirim formuna yönlendiren kanıtı buldu.[.]Resmi Chrome Web Store İnceleme sayfasına yüksek derecelendirme (4-5 yıldız) sağlayanları gönderirken Pro Domain.