Yakın tarihli bir siber güvenlik soruşturması, en az 3,2 milyon kullanıcıyı tehlikeye atan 16 kötü amaçlı krom uzantısından oluşan bir kümeyi ortaya çıkardı.
Ekran yakalama, reklam engelleme ve emoji klavyeleri gibi işlevleri içeren bu uzantıların tarayıcılara kod enjekte ettiği, reklam ve arama motoru optimizasyonu sahtekarlıklarını kolaylaştırdığı bulunmuştur.
Bu kampanyanın arkasındaki tehdit aktörünün, bu uzantılardan bazılarına bir uzlaşma yerine orijinal geliştiricilerinden eriştiğine ve en az Temmuz 2024’ten beri uzantıları trojanize ettiğine inanılıyor.
Kötü niyetli işlemler
Kötü niyetli uzantılar, benzersiz yapılandırma sunucularını kontrol ederek, uzantı sürümlerini ve sabit kodlu kimlikleri aktararak ve yapılandırma verilerini yerel olarak saklayarak çalışır.
Ayrıca, bu verileri periyodik olarak yenilemek ve içerik güvenliği ilkesi (CSP) korumalarını çıkararak tarayıcı güvenliğini azaltmak için alarmlar oluştururlar.
Bu, tehdit oyuncusunun web sayfalarına gizlenmiş JavaScript yüklerini enjekte etmesini sağlar, bu da potansiyel olarak hassas bilgi sızıntısına ve yetkisiz erişime yol açar.
Uzantıların yapılandırma sunucuları için Bunny CDN altyapısı ve DigitalOcean uygulamaları kullandığı tespit edildi ve tutarlı başlıklar tek bir ekspres uygulamayı gösterdi.
Darbe
Tehdit oyuncunun saldırı zinciri, tam olarak çoğaltılmamış karmaşık çok aşamalı bir süreç içerir.
Bununla birlikte, kötü niyetli uzantıların otomatik isteklerin organik görünmesini, izleme hizmetlerini engellemek ve reklam alanlarına izin vermek için ağ filtreleme kurallarını değiştirebileceği bilinmektedir.
GitLab raporuna göre, bu sofistike kampanya, Chrome Web mağazasına olan güvenden ve tarayıcı uzantılarının otomatik güncelleme mekanizmasını kullandığı için kullanıcılar ve kuruluşlar için önemli bir tehdit oluşturuyor.
Keşifin ardından Google bilgilendirildi ve tüm tanımlanan uzantılar Chrome Web Store’dan kaldırıldı.
Bununla birlikte, kullanıcılar, mağazadan kaldırma otomatik kaldırma işlemlerini tetiklemediğinden bu uzantıları manuel olarak kaldırmalıdır.
Bireyler için öneriler, uzatma izinleri konusunda temkinli olmak ve yüklü uzantıları düzenli olarak gözden geçirmeyi içerir.
Kuruluşların uzatma kurulumlarını kısıtlayan uygulama kontrolleri uygulamaları ve uzatma izinleri veya sahiplikteki değişiklikler için izlemeleri önerilir.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here