100.000’den fazla kurulum, doğrulanmış bir rozet ve Chrome Web Mağazası’na yer alan yerleşim içeren bir krom uzantısı, kullanıcıların tarama etkinliklerinin ekran görüntülerini sessizce yakalayan ve uzak sunuculara söndüren casus yazılım olarak ortaya çıktı.
Gizlilik politikasına rağmen, geliştiricinin kullanıcı verilerini toplamadığını veya kullanmadığını açıkça belirtmesine rağmen, adli analiz keskin bir çelişki ortaya koymaktadır: uzantı kalıcı gözetim ile ilgilenir, bankacılık detayları, kişisel mesajlar ve kullanıcı rızası veya bildirimi olmayan özel belgeler gibi hassas bilgileri yakalar.
Sofistike exfiltrasyon teknikleri
Uzantının kötü niyetli davranışı, ekran görüntüsü yakalama için iki aşamalı bir mimariden yararlanır.
Kurulum üzerine, hassas içeriğin tam olarak oluşturulmasını sağlamak için sayfa yükünden sonra otomatik 1.1 saniyelik gecikmeli yakalamayı tetikleyen her HTTP ve HTTPS sayfasına bir içerik komut dosyası enjekte edilir.
Bu komut dosyası, AITD’ye iletmeden önce sayfa URL’si, sekme kimliği ve benzersiz bir kullanıcı tanımlayıcısıyla bir araya getirmek için chrome.tabs.captureVisiBletab () API’sını çağıran arka plan hizmet çalışanıyla iletişim kurar.[.]One/brange.php.
Ayrıca, isteğe bağlı bir yerel analiz olarak sunulan “AI Tehdit Tespiti ile Tarama” özelliği tam sayfa ekran görüntülerini yakalar ve bunları AITD’ye yükler[.]One/analize.php, ancak bu sadece devam eden arka plan gözetimi için bir cephedir.
Başlangıçta, uzantı IP coğrafi konum API’lerini sorgular, cihaz meta verilerini toplar ve AITD’ye Base64 kodlu analitik gönderir[.]One/bainit.php.
En son sürüm (v3.1.4), RSA anahtar sargısı ile AES-256-GCM şifrelemesini uygular, geçişte verileri gizler ve ağ tabanlı algılamayı zorlaştırır.
Uzatma, dahil olmak üzere aşırı izinler talep ediyor
Bu izinler, bir VPN aracının gizlilik beklentilerine doğrudan karşı çıkan şifreler ve kişisel fotoğraflar gibi son derece hassas verilerin pessfiltrasyonunu sağlar.
Önceki sürümlerde meşru vekalet tabanlı VPN olarak başlayan şey, artımlı güncellemelerle gelişti: v3.0.3 tanıtıldı
Sonraki v3.1.4 Scan.aitd.e’ye kayarak ve şifrelemeyi artırarak maskelenmiş işlemler.
Geliştirici iddiaları yetersiz kalıyor
Geliştirici ile temas, otomatik yakalayan iddialar da dahil olmak üzere, gelecekteki güncellemelerde katılım izni planları ile “arka plan taraması” nın bir parçası olarak yalnızca şüpheli alanları hedeflemiştir.
Ancak, Google sayfaları ve fotoğrafları gibi iyi huylu sitelerde test edilen yakalamaları test etmek. Depolama olmadan geçici analiz iddiaları, veriler kontrolsüz sunuculara ek olarak açıklandığından doğrulanamaz kalır.
Rapora göre, geliştiricinin ilişkisi, güvenilir şirket detaylarından yoksun temel bir WIX sitesi olan Phoenixsoftsol.com’a işaret ediyor ve doğrulanabilir profiller için basıldığında yanıtlar sona eriyor.
Bu olay, otomatik taramaların ve insan gözetiminin, uzantının iddia edilen veri bütünlüğünün beş yıllık geçmişine rağmen, iyi huylu VPN işlevselliğinden casus yazılımlara geçişi tespit edemediği genişletme inceleme sürecindeki güvenlik açıklarının altını çizmektedir.
KOI güvenlik araştırmacıları tarafından yazılan bu pozlama, tarayıcı ekosistemlerinde güvenilmeyen üçüncü taraf uzantılarının risklerini vurgulamaktadır.
Bu tür araçlara güvenen işletmeler, artan tehditlerle karşı karşıya kalır ve pazar yerlerindeki riskleri izlemesi ve azaltması için gelişmiş yönetişim platformlarının çağrılarını teşvik eder.
Uzlaşma Göstergesi (IOCS)
| Gösterge Türü | Değer |
|---|---|
| Uzatma kimliği | Jcbiifklmgnkpebelchlpdbnibihel |
| İhtisas | Aitd.one |
| İhtisas | Extrahefty.com |
| İhtisas | freevpn.one |
| İhtisas | scan.aitd.one |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!