Güvenlik araştırmacıları, uzak komutları gizlice yürüterek ve potansiyel olarak kullanıcıları yıllarca casusluk yapan 35’ten fazla Google Chrome uzantısından oluşan bir ağ ortaya çıkardı.
Endişe verici keşif, güvenli bir ek tarafından sağlanan bir izleme özelliği kullanılarak bir kuruluşta rutin bir güvenlik incelemesi sırasında başladı.
132 uzantının bir listesi arasında, birçoğu göze çarpıyordu, çünkü bunlar “sevmediler” – Chrome web mağazası aramalarında görülebilir ve yalnızca doğrudan bir bağlantı ile erişilebilir.
.png
)
Bazı şirketler özel dağıtımlar için kaldırılmamış uzantılar kullanırken, bu gizlilik aynı zamanda kötü niyetli aktörlerin izlerini gizlemelerini kolaylaştırır.
Daha fazla araştırma şaşırtıcı bir kapsamı ortaya koydu: 300.000’den fazla kurulum ve yararlı bir araç olarak görünen ancak anlamlı bir işlevsellik sağlayamadı, “Yangın Kalkanı Uzatma Koruması” olarak adlandırılan bir uzatma.
Bunun yerine, tüm web trafiğine erişimden çerezleri yönetmeye, komut dosyalarını yürütmeye ve hatta tarayıcı sekmelerini değiştirmeye kadar kapsamlı izinler talep etti.
Şüpheli URL’ler ve gizlenmiş kod
Araştırmacılar, kodları boyunca yanlış yazılmış bir alan adına “Unknown.com” ile bağlantılı birden fazla uzantıyı fark ettiler – tespitlerden kaçınmak için ortak bir taktik.
Gelişmiş analiz araçlarını kullanarak ekip, benzer bir arka plan kodu ve izin setlerini paylaşan 35 benzersiz uzantıyı belirledi.
Değişen markalaşma ve iddia edilen amaçlara (reklam engelleme, gizlilik koruması, arama geliştirmeleri) rağmen, bu uzantıların birçoğunun gerçek özellikleri yoktu, bunun yerine yoğun bir şekilde gizlenmiş kodu çalıştırdı.
Kurulum üzerine, bu uzantılar işlevsiz görünecektir, hiçbir arayüz veya görünür amaç sağlamaz. Ancak, perde arkasında, dış sunuculara düzenli “kalp atışı” pingleri gönderdiler – özellikle bulut altyapısında barındırılan URL’ler.
Daha fazla kod analizi ve AI-Powered DE-Obfusation, bu uzantıların uzaktan yapılandırma değişikliklerini alma ve yürütme yeteneğini ortaya çıkardı ve saldırganlara etkili bir şekilde kullanıcı tarayıcılarına sıradan erişim sağladı.
Bu haydut uzantıların teknik yetenekleri genişti:
- Tüm çerezleri ziyaret edilen herhangi bir alandan hasat etmek, hassas oturum kimlik bilgileri için bir risk oluşturur.
- Etkin tarayıcı sekmelerinde harici komut dosyalarının enjekte edilmesi ve yürütülmesi, herhangi bir siteden manipülasyon veya veri hırsızlığına izin verir.
- Kullanıcı tarama etkinliğini izleme ve ayrıntılı günlükleri uzak sunuculara geri gönderme.
- Tarayıcı arama sağlayıcılarını kullanıcı aramalarını ele geçirmek ve reklam ağları aracılığıyla trafiği para kazanmak için değiştirme.
- ‘Yetkilendirme’ ve ‘Çerez’ gibi hassas HTTP başlıklarına erişmek, potansiyel olarak hesap devralmalarını kolaylaştırır.
Endişe verici bir şekilde, uzantıların yapılandırması-veri toplama veya gözetim düzeyi gibi-komut ve kontrol sunucuları tarafından uzaktan güncellenebilir ve saldırganların herhangi bir zamanda etkinliklerini çevirmesine izin verir.
Uzantıların birçoğu kökenlerini 2019’a kadar takip etti ve en azından biri Cuponomia meşru bir şirketle bağlantılıydı, ancak yine de agresif izleme davranışları sergiledi.
Olmayan uzantıların tutarlı kullanımı, minimal görünür işlevsellik ve yaygın kod gizlemesi, yıllarca hem kullanıcı şüphesinden hem de güvenlik tarayıcılarından kaçmalarını sağladı.
Bu ihlalin kapsamı – 6 milyondan fazla kurulum – tarayıcı uzantılarında gizlenen risklerin açık bir hatırlatıcısıdır. Güvenlik uzmanları:
- Yüklü uzantıları periyodik olarak gözden geçirme ve aşırı izinlerle veya belirsiz kökenlerle herhangi birinin çıkarılması.
- Yalnızca şeffaf gizlilik politikaları, açık kaynaklı kod ve güçlü kullanıcı derecelendirmeleri olan uzantıları tercih etmek.
- Kuruluşlar, kurumsal ortamlarda kaldırılmamış veya doğrulanmamış uzantıların kullanımını izlemeli ve kısıtlamalıdır.
Google bilgilendirildi ve dahili bir inceleme yapıyor. Kullanıcılara şüpheli uzantıları kontrol etmeleri ve riskleri derhal bildirmeleri istenir.
Bu olay, devam eden uyanıklığın öneminin altını çizmektedir, çünkü görünüşte zararsız yazılım bileşenleri, geniş kapsamlı siber saldırılar için hızla vektörler haline gelebilir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!