Yeni bir saldırı kampanyası, bilinen Chrome tarayıcı uzantılarını hedef alarak en az 16 uzantının ele geçirilmesine ve 600.000’den fazla kullanıcının veri açığa çıkmasına ve kimlik bilgileri hırsızlığına maruz kalmasına yol açtı.
Saldırı, bir kimlik avı kampanyası yoluyla Chrome Web Mağazası’ndaki tarayıcı uzantılarının yayıncılarını hedef aldı ve çerezleri ve kullanıcı erişim belirteçlerini çalmak amacıyla meşru uzantılara kötü amaçlı kod eklemek için erişim izinlerini kullandı.
Açığa çıktığı bilinen ilk şirket siber güvenlik firması Cyberhaven’dı.
27 Aralık’ta Cyberhaven, bir tehdit aktörünün tarayıcı uzantısını tehlikeye attığını ve cyberhavenext etki alanında bulunan harici bir Komuta ve Kontrol (C&C) sunucusuyla iletişim kurmak için kötü amaçlı kod enjekte ettiğini açıkladı.[.]pro, ek yapılandırma dosyalarını indirin ve kullanıcı verilerini sızdırın.
Tarayıcı uzantısı güvenliğinde uzmanlaşan LayerX Security’nin CEO’su Or Eshed, “Tarayıcı uzantıları web güvenliğinin yumuşak merkezidir” diyor. “Tarayıcı uzantılarını zararsız olarak düşünme eğiliminde olsak da, pratikte bunlara sıklıkla çerezler, erişim belirteçleri, kimlik bilgileri ve daha fazlası gibi hassas kullanıcı bilgilerine yönelik kapsamlı izinler veriliyor.
Eshed, “Birçok kuruluş, uç noktalarına hangi uzantıları yüklediklerini bile bilmiyor ve bunların maruz kalma boyutunun farkında değil” diyor.
Cyberhaven ihlali haberi duyulduğunda, güvenliği ihlal edilen ve aynı C&C sunucusuyla iletişim kuran ek uzantılar da hızla belirlendi.
SaaS güvenlik şirketi Nudge Security’nin CTO’su Jamie Blasco, Cyberhaven ihlali için kullanılan C&C sunucusunun aynı IP adresine çözümlenen ek alan adları belirledi.
Şu anda güvenliğinin ihlal edildiğinden şüphelenilen ek tarayıcı uzantıları şunları içerir:
- AI Asistanı – Chrome için ChatGPT ve Gemini
- Bard AI Sohbet Uzantısı
- OpenAI ile GPT 4 Özeti
- Chrome için Copilot AI Assistant’ı arayın
- TinaMInd Yapay Zeka Asistanı
- Yapay Zekanın Yolu
- VPNŞehir
- Internxt VPN’i
- Vindoz Flex Video Kaydedici
- VidHelper Video İndirici
- Favori Simgesi Değiştirici
- Kastorus
- Ses
- Okuyucu Modu
- Papağan Konuşmaları
- primus
Güvenliği ihlal edilen bu ek uzantılar, Cyberhaven’ın tek seferlik bir hedef olmadığını, meşru tarayıcı uzantılarını hedef alan geniş ölçekli bir saldırı kampanyasının parçası olduğunu gösteriyor.
Güvenliği ihlal edilen Cyberhaven’ın analizi, kötü amaçlı kodun Facebook hesaplarının, özellikle de Facebook işletme hesaplarının kimlik verilerini ve erişim belirteçlerini hedef aldığını gösteriyor:
 |
| Güvenliği ihlal edilmiş Cyberhaven tarayıcı uzantısı tarafından toplanan kullanıcı verileri (kaynak: Cyberhaven) |
Cyberhaven, tarayıcı uzantısının kötü amaçlı sürümünün yayına girdikten yaklaşık 24 saat sonra kaldırıldığını söylüyor. Açığa çıkan diğer uzantılardan bazıları da zaten güncellenmiş veya Chrome Web Mağazası’ndan kaldırılmıştır.
Ancak Or Eshed, uzantının Chrome mağazasından kaldırılmasının yayının sona erdiği anlamına gelmediğini söylüyor. “Uzantının güvenliği ihlal edilmiş sürümü uç noktada hâlâ yayında olduğu sürece, bilgisayar korsanları buna hâlâ erişebilir ve verileri sızdırabilir” diyor.
Güvenlik araştırmacıları, açığa çıkan ek uzantıları aramaya devam ediyor, ancak bu saldırı kampanyasının karmaşıklığı ve kapsamı, birçok kuruluşun tarayıcı uzantılarını güvence altına alma şansını artırdı.