Siber güvenlik firması Layerx, birçoğu hala Google Chrome Web mağazasında mevcut olan 40’tan fazla kötü amaçlı krom tarayıcı uzantısını ortaya çıkardı.
Üç ayrı kimlik avı kampanyasının bir parçası olan bu uzantılar, tanınmış ve güvenilir uygulamaları ve markaları taklit etmek için tasarlanmıştır.
Ayrıntılı analiz, kimliğe bürünme taktiklerini ortaya çıkarır
Domaintools İstihbarat (DTI) ekibinin ilk araştırmalarını oluşturan Layerx, kötü niyetli uzantılarla iletişim kurmak için işaretlenmiş şüpheli URL’lerin kapsamlı bir analizini gerçekleştirdi.
.png
)
IDS, isimleri, yayıncılar ve yayın tarihleri de dahil olmak üzere bu uzantılarla ilişkili meta verileri analiz ederek Layerx, bu yaygın kampanyanın genişliğini ve derinliğini belirleyebildi.
Kötü niyetli uzantılar, Fortinet’in FortivPN’si, Calendly Planlama yazılımı, YouTube Yardımcı Araçları ve Debank gibi kripto para birimi yardımcı programları gibi popüler araçları ve markaları taklit etmek için tasarlandı, böylece bu markaların kullanıcı şüphesini atlamak için güvenilirliğini artırdı.
Bu uzantılar sadece meşru olanlara benzeyen alan adlarını dövmekle kalmaz, örneğin calendlydaily[.]world veya calendly-director[.com]ancak aldatmacalarını geliştirmek için yayıncı iletişim bilgileri için bağımsız alanlar kullandı.
AI ve Uzatma Yaratılışında Otomasyon
Bu kampanyanın çarpıcı bir yönü, AI’nın uzatma sayfalarını otomatik olarak oluşturulmasıydı.
Bu sayfaların yapısı, biçimlendirme ve dili neredeyse aynıydı, bu da bu aldatıcı araçları oluşturmak için sistematik bir yaklaşım gösterdi.
Bu otomasyon, tehdit aktörlerinin asgari manuel çalışma ile sayısız uzantıyı hızla dağıtmasına ve kimlik avı operasyonlarını önemli ölçüde ölçeklendirmesine izin verdi.
Uzantılar, saldırganlara kullanıcı oturumlarına kalıcı erişim sağladı, veri hırsızlığı, kimlik kimliğine bürünme ve potansiyel olarak kurumsal ortamlara sızma sağladı.
Bu uzantıların kurulumu, bilgisayar korsanlarının giriş kimlik bilgileri, kişisel veriler ve iş sırları dahil olmak üzere hassas bilgileri çalmasına izin verdi.
Bu kötü niyetli uzantıların keşfi, tarayıcı uzantılarının siber tehditler için bir vektör olarak kırılganlığının altını çizmektedir.
Layerx, kuruluşların bu riskleri azaltmak için atabileceği birkaç proaktif adım belirtti:
- Uzatma kimliğine göre kötü niyetli uzantıları engelleyin: Bu yöntem emek yoğun olmasına rağmen, MDM veya tarayıcı politikası uygulama yoluyla bilinen kötü niyetli uzantıları manuel olarak engellemeyi içerir.
- Uzatma hijyenini uygulayın: Uzantıların kurulumunun yalnızca doğrulanmış veya yerleşik yayıncılarla sınırlandırılması, yakın zamanda yayınlanan araçlardan kaçınma ve düşük inceleme sayılarına veya şüpheli izin taleplerine sahip uzantılara karşı dikkatli olmak yardımcı olabilir.
- Kazanma sonrası eylemler: Uzantılar Chrome deposundan kaldırıldıktan sonra bile, manuel olarak kaldırılmadıkça aktif kullanıcı kurulumları kalır. Bu nedenle, kullanıcılar ve BT departmanları uyanık kalmalıdır.
Rapora göre, Layerx, gerçek zamanlı izleme, risk sınıflandırması ve bu tür tehditlere karşı daha sağlam bir savunma sağlayabilecek kötü niyetli uzantıların otomatik olarak engellenmesi de dahil olmak üzere tarayıcı güvenliğini yönetmek için özel çözümler sunuyor.
Bu kampanya, kötü niyetli faaliyetler için inandırıcı cepheler yapmak için yapay zeka kullanarak modern kimlik avı girişimlerinin karmaşıklığını göstermektedir.
Kuruluşlar, güvenlik stratejilerini bu gizli tehditlere karşı korumak için sıkı tarayıcı uzatma yönetimini içerecek şekilde uyarlamalıdır.
Uzlaşma Göstergeleri (IOC):
| Uzatma kimliği | Uzatma adı | Yayıncı |
|---|---|---|
| ccollcihnnpcbjcgcjfmabegkpbehnip | Fortivpn | https: // forti-vpn[com/[com/ |
| aeibljandelbcaaemkdnbaacppjdmom | MANus var | Ücretsiz AI Asistanı |
| fcfmhlijjmckglejcgdclfNeafoehafm | Site istatistikleri | https: // sitestats[World[world |
| … | … | … |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!