Soket tehdidi araştırma ekibinden güvenlik araştırmacıları, aldatıcı taktikler aracılığıyla oauth jetonlarını, şifreleri ve kullanıcıları aktif olarak çalan sekiz kötü amaçlı Firefox tarayıcı uzantısından oluşan sofistike bir ağ ortaya çıkardılar.
Keşif, Firefox ekosisteminde kullanıcı güvenliğini tehlikeye atmak için popüler oyun başlıklarından ve yardımcı program uygulamalarından yararlanan koordineli bir kampanya ortaya koyuyor.
Büyük Oyun Uzatma Sahtekarlık Ağı keşfedildi
Soruşturma başlangıçta “Shell Shockers” adı verilen tek bir kötü niyetli uzatma ile başladı, ancak tehdit oyuncusu MRE1903 tarafından işletilen tüm sahte oyun uzantıları ağını ortaya çıkarmak için hızla genişledi.
Haziran 2018’den bu yana aktif olan bu siber suçlu, Little Alchemy 2, 1v1.lol, Krunker IO oyunu, Freddy’s’te beş gece ve Bubble Spinner dahil olmak üzere popüler oyunlar olarak maskelenen hileli uzantılar yarattı.
Bu kötü niyetli uzantılar, dünya çapında milyonlarca oyuncu ile sevilen oyunları taklit ederek kullanıcı güvenini kullanıyor.
Bununla birlikte, gerçek oyun işlevselliği sağlamak yerine, kullanıcıları derhal kurulum sırasında kumar web sitelerine ve sahte Apple virüsü uyarı aldatmaca sayfalarına yönlendirirler.
Tehdit oyuncusu yaklaşımı, birden fazla popüler oyun başlığı boyunca dağıtılmış dağıtım yoluyla tespitten kaçınırken erişimi en üst düzeye çıkarmak için tasarlanmış koordineli bir kampanya gösteriyor.
Basit yönlendirme dolandırıcılığının ötesinde, araştırmacılar sofistike saldırı teknikleri kullanan birkaç uzantıyı belirlediler. Meşru bir Google Takvim Senkronizasyon Aracı olarak görünen Calsyncmaster, analizdeki en ciddi tehdidi temsil ediyor.
Bu uzantı, hassas kişisel ve iş verilerine sürekli erişim sağlayan Google kimlik doğrulama jetonlarını çalarak gelişmiş OAuth kimlik bilgisi hırsızlığı operasyonlarını uygular.
Kötü niyetli kod, özellikle saldırganlara kullanıcıların toplantı programlarına, seyahat planlarına, ticari faaliyetlerine ve iletişim bilgilerine kalıcı görünürlük sağlayan salt okunur izinler talep ederek Google Takvim API’lerini özellikle hedefler.
Güvenlik uzmanları, uzantının mimarisinin kolay kapsam artışına izin verdiği ve potansiyel olarak basit güncellemeler yoluyla olay manipülasyonunu veya veri silinmesini sağladığı konusunda uyarıyor.
VPN, gizlilik odaklı bir VPN hizmeti olarak pazarlanan proxy ücretsiz bir uzantısı alır, görünmez izleme IFREM’leri enjekte ederek ve saldırgan kontrollü vekiller aracılığıyla tüm web trafiğini yönlendirerek kullanıcıları gizlice izler.
Bu yapılandırma, oturum açma kimlik bilgilerinin potansiyel müdahalesi, kişisel bilgiler ve özel iletişim de dahil olmak üzere kullanıcı etkinliklerinin kapsamlı bir şekilde gözetimini sağlar.
Bu arada, Gimmegimme uzantısı, BOL.com ve CoolBlue.nl gibi Avrupa alışveriş sitelerini hedefler, vaat eden istek listesi işlevselliği, satış ortağı izleme bağlantıları aracılığıyla alışveriş oturumlarını gizlice yönlendirir.
Kullanıcılar, vaat edilen özellikleri reddedilirken, kullanıcı güveni ve şeffaflığın açık bir ihlali temsil ederken, saldırganlar için gelir elde eder.
Büyüyen Tarayıcı Uzatma Tehdidi Peyzajı
Keşifler siber güvenlik tehditlerinde daha geniş bir eğilimi vurgulamaktadır. Tarayıcı uzantıları, güvenilir durumları, kapsamlı izinleri ve tarayıcıların güvenlik bağlamlarında yürütme yeteneği nedeniyle giderek daha tercih edilen saldırı vektörleri haline gelmiştir.
Basit yönlendirme dolandırıcılığından OAuth kimlik hırsızlığına ilerleme, bu tehditlerin ne kadar hızlı geliştiğini ve ölçeklendiğini gösteriyor.
Güvenlik uzmanları, kullanıcıların yüklü tarayıcı uzantılarını düzenli olarak denetlemelerini ve belirtilen işlevselliklerini aşan izinleri isteyen herhangi bir şekilde kaldırmalarını önerir.
Kuruluşlar, kurumsal ortamlarda uzantı izin listeleri uygulamalı ve beklenmedik proxy konfigürasyonları veya şüpheli harici iletişim için ağ trafiğini izlemelidir.
Soket tehdidi araştırma ekibi, bu tehditlerin hem bireysel kullanıcılardan hem de kuruluşlardan sürekli uyanıklık gerektirdiğini vurgulamaktadır.
Sosyal mühendislik taktiklerinin teknik sofistike ile birleşmesi, bu uzantıları özellikle tanıdık oyun isimlerine ve faydalı vaatlere güvenen şüphesiz kullanıcılara karşı etkili hale getirir.
Kullanıcılar yüklü Firefox uzantılarını derhal incelemeli ve kişisel verilerini ve kimlik doğrulama kimlik bilgilerini korumak için belirlenen kötü amaçlı uygulamalarla eşleşmelidir.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi