ShadyPanda adı altında faaliyet gösteren karmaşık bir tehdit grubu, popüler Chrome ve Edge uzantılarını hedef alan yedi yıllık metodik bir kampanya aracılığıyla milyonlarca tarayıcı kullanıcısını başarıyla ele geçirdi.
Kötü amaçlı uzantılar hem Google hem de Microsoft tarafından doğrulanmış statüsüne kavuşarak, şüphelenmeyen kullanıcılar için meşru görünmelerine neden olduğundan, saldırı, kullanıcının güveninin önemli bir ihlalini temsil ediyor.
Bu uzun süre boyunca ShadyPanda, büyük ölçüde tespit edilmeden 4,3 milyon cihaza bulaştı ve tarayıcı tabanlı saldırılara karşı sabırlı ve gelişen bir yaklaşım sergiledi.
Kampanya iki ayrı ancak birbiriyle bağlantılı aşamada yürütülüyor. Bunlardan ilki, etkinleştirmeden önce 300.000’den fazla kurulum toplayan tanınmış Clean Master uygulaması da dahil olmak üzere beş silahlandırılmış uzantı aracılığıyla konuşlandırılan bir uzaktan kod yürütme (RCE) arka kapısını içeriyor.
.webp)
İkinci aşama, 4 milyondan fazla birleşik yüklemeye sahip beş ek uzantıyı, özellikle de yalnızca 3 milyon kullanıcıya sahip WeTab Yeni Sekme Sayfası uzantısını kapsayan devasa bir casus yazılım operasyonunu içeriyor.
Bu ikili operasyon yapısı, tehdit grubunun uzun süreler boyunca tespit edilmekten kaçınırken aynı anda birden fazla saldırı vektörünü sürdürme yeteneğini ortaya koyuyor.
Koi güvenlik analistleri, ShadyPanda’nın başarısının, kötü amaçlı dağıtım yöntemlerinden ziyade, meşru uygulamaları sessiz güncellemeler yoluyla silah haline getirmesinden kaynaklandığını belirtti ve belirledi.
Grup, uzantıların yıllarca normal şekilde çalışmasına izin vererek, gerçek kullanıcı yorumlarını toplayarak ve kurulumcu sayılarını toplayarak güveni artırdı.
.webp)
Güvenlik açığı bulunan sayılara ulaşıldığında, tek bir güncelleme, Chrome ve Edge’in otomatik güncelleme mekanizmalarını kullanarak, kullanıcı etkileşimi veya görünürlük olmadan milyonlarca tarayıcının anında güvenliğini ihlal eden bu güvenilir araçları gözetim araçlarına dönüştürdü.
Enfeksiyon mekanizması
Enfeksiyon mekanizması, çeşitli teknik yöntemlerle dikkate değer bir karmaşıklıkla çalışır. Etkilenen her tarayıcı, yeni talimatları almak ve tam tarayıcı API erişimiyle isteğe bağlı JavaScript kodunu yürütmek için saat başı uzak sunucularla iletişim kurar.
Bu, statik kötü amaçlı yazılım yerine kalıcı bir arka kapı oluşturarak tehdit grubunun saldırıları dinamik olarak uyarlamasına olanak tanır.
Kötü amaçlı yük, Çin’deki sunuculara gönderilmeden önce tümü AES şifrelemesiyle şifrelenmiş tam tarama geçmişlerini, arama sorgularını, web sitesinde gezinme modellerini ve hassas fare tıklaması koordinatlarını toplar.
Kötü amaçlı yazılım, güvenlik araştırmacılarına karşı etkinliğini korumak için gelişmiş kaçırma teknikleri kullanıyor.
Geliştirici araçları açıldığında, uzantı hemen zararsız davranışa geçerek analiz ve keşifleri engeller.
Kod, kısaltılmış değişken adları aracılığıyla yoğun bir gizleme kullanır ve güvenlik politikalarını atlamak için 158KB’lik bir JavaScript yorumlayıcısı aracılığıyla yürütülür.
Hizmet çalışanları, HTTPS bağlantılarından kimlik bilgileri toplama da dahil olmak üzere trafiğe müdahale edilmesine ve meşru dosyaların değiştirilmesine olanak tanıyan ortadaki adam yeteneklerini etkinleştirir.
Tehdit ortamı artık bireysel tüketicilerin ötesinde kurumsal ortamlara kadar uzanıyor. Virüs bulaşmış uzantıları çalıştıran geliştirici iş istasyonları, kurumsal ağlara giriş noktalarını temsil ederek depoların, API anahtarlarının ve bulut altyapısı erişiminin riske atılmasına neden olabilir.
Güvenlik profesyonelleri, kritik sistemlerde kurulu uzantıları derhal denetlemeli ve geleneksel statik analizin tanımlayamadığı silahlanma kalıplarını tespit etmek için davranışsal izleme çözümleri uygulamalıdır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
