ÖZET
- Büyük Ölçekli İhlal: 16’dan fazla Chrome uzantısının güvenliği ihlal edildi ve 600.000’den fazla kullanıcı veri ve kimlik bilgileri hırsızlığına maruz kaldı.
- Kimlik Avı Saldırısı: Geliştiriciler, sahte Chrome Web Mağazası e-postaları yoluyla kötü amaçlı bir OAuth uygulamasına erişim izni vermeleri için kandırıldı.
- Siber Cennet Etkisi: Saldırganlar, hassas kullanıcı verilerini çalan kötü amaçlı bir güncellemeyi dağıtmak için yönetici kimlik bilgilerini kullandı.
- Yaygın Etki: Kategorilerdeki birçok uzantı aynı kötü amaçlı altyapıya bağlıdır.
- Yanıt ve Öneriler: Kimlik bilgilerini iptal edin, günlükleri izleyin ve uzantıları güvenli hale getirin; soruşturmalar devam ediyor.
Gelişmiş bir saldırı kampanyası, en az 16 Chrome tarayıcı uzantısını tehlikeye atarak 600.000’den fazla kullanıcıyı veri hırsızlığına ve kimlik bilgisi hırsızlığına maruz bıraktı. Saldırı, Chrome Web Mağazası’ndaki resmi iletişimleri taklit eden kimlik avı e-postaları yoluyla uzantı yayıncılarını hedef aldı.
Aciliyet hissi yaratmak için tasarlanan bu e-postalar, geliştiricileri kötü amaçlı uygulamaların hesaplarına erişmesine izin vermeleri için kandırdı. Bu, saldırganların meşru uzantılara kötü amaçlı kod yerleştirmesine olanak tanıdı.
Alıcı, bir bağlantıya tıklayarak politikaları kabul etmeye yönlendirildi ve bu bağlantı, onları “Gizlilik Politikası Uzantısı” adı verilen kötü amaçlı bir OAuth uygulamasına izin verme sayfasına yönlendirdi.
Veri kaybını önleme konusunda uzmanlaşmış bir siber güvenlik firması olan Cyberhaven, etkilenen firmalar arasında yer aldı ve ihlalini kamuya açıklayan ilk firma oldu. Saldırı 24 Aralık’ta gerçekleşti ve bir şirket çalışanının Chrome Web Mağazası yönetici kimlik bilgilerine erişim sağlamak için kimlik avı yapılmasını içeriyordu.
Cyberhaven’a göre saldırganlar “Google Chrome Mağazası’nın tek yönetici hesabını” ele geçirdi ve popüler Chrome uzantılarına kötü amaçlı bir güncelleme yayınlamayı başardılar. Noel Günü dağıtılan bu güncelleme, şifreler, oturum belirteçleri, Facebook hesabı kimlik bilgileri ve çerezler dahil olmak üzere hassas kullanıcı verilerini çalmak için tasarlandı.
Kötü amaçlı uzantı olan 24.10.4 sürümü, tespit edilip Chrome Web Mağazası’ndan kaldırılana kadar 31 saatten fazla etkin kaldı. Şirketin açıklamasında “Güvenlik ekibimiz bu ihlali 25 Aralık 23:54 UTC’de tespit etti ve kötü amaçlı paketi 60 dakika içinde kaldırdı” denildi.
Cyberhaven derhal yasal bir güncelleme (sürüm 24.10.5) yayınladı, bir olay müdahale planı geliştirmek için Mandiant’ı işe aldı ve ayrıca soruşturma için federal emniyet teşkilatlarını bilgilendirdi. Şirket, CI/CD süreçleri ve kod imzalama anahtarları da dahil olmak üzere sistemlerinin güvenliğinin ihlal edilmediğini doğruladı.
Müşterilerine gönderdiği bir e-postada Cyberhaven, kullanıcılara şifreleri ve API belirteçleri gibi metin tabanlı kimlik bilgilerini iptal etmelerini ve döndürmelerini ve günlüklerini kötü amaçlı etkinliklere karşı incelemelerini tavsiye etti. Bunun nedeni, çalınan oturum belirteçlerinin ve çerezlerin güvenlik önlemlerini atlayarak bilgisayar korsanlarının oturum açmış hesaplara parola veya iki faktörlü kod olmadan erişmesine olanak sağlaması potansiyelidir. Ancak şirket, ihlalin yöntemini veya hesabın ele geçirilmesine izin veren kurumsal güvenlik politikalarını açıklamadı.
Cyberhaven ihlalinin ardından güvenlik araştırmacıları, benzer kötü amaçlı davranışlar sergileyen, güvenliği ihlal edilmiş çok sayıda başka uzantı keşfetti. Yapay zeka asistanları, VPN’ler ve üretkenlik araçları da dahil olmak üzere çeşitli kategorileri kapsayan bu uzantıların aynı komut ve kontrol sunucularıyla iletişim kurduğu tespit edildi.
Cyberhaven krom uzantısının ihlaliyle ilgili olarak, başka uzantıların da etkilendiğine inanmak için nedenlerim var. IP adresine göre dönerek, aynı zaman aralığında, cyberhavenextpro ile aynı IP adresine çözümlenen daha fazla alan oluşturulur (devamı)
— Jaime Blasco (@jaimeblascob) 27 Aralık 2024
Tarayıcı uzantısı güvenlik platformu Secure Annex’e göre güvenliği ihlal edildiği tespit edilen diğer uzantılar arasında şunlar yer alıyor:
| İsim | İD |
|---|---|
| VPNŞehir | nnpnnpemnckcfdebeekibpiijlicmpom |
| Papağan Konuşmaları | kkodiihpgodmdankclfibbiphjkfdenh |
| Ses | oaikpkmjciadfpddlpjjdapglcihgdle |
| Internxt VPN’i | dpggmcodlahmljkhlmpgpdcffdaoccni |
| Favori Simgesi Değiştirici | acmfnomgphggonodopogfbmkneepfgnh |
| Kastorus | mnhffkhmpnefgklngfmlndmkimimbphc |
| Yapay Zekanın Yolu | cedgndijpacnfbdggppddacngjfdkaca |
| Chrome için Copilot AI Assistant’ı arayın | bbdnohkpnbkdkmnkddobeafboooinpla |
| VidHelper – Video İndirici | egmennebgadmncfjafcemlecimkepcle |
| Yapay Zeka Asistanı – Chrome için ChatGPT ve Gemini | bibjgkidgpfbblifamdlkdlhgihmfohh |
| Vidnoz Flex – Video kaydedici ve Video paylaşımı | cplhlgabfijoiabgkigdafklbhhdkahj |
| TinaMind – GPT-4o destekli Yapay Zeka Asistanı! | befflofjcniongenjmbkgkoljhgliihe |
| Bard AI sohbeti | pkgciiiancapdlpcbppfkmeaieppikkk |
| Okuyucu Modu | llimhhconnjiflfimocjggfjdlmlmlhblm |
| İlk (önceki PADO) | oeiomhmbaapihbilkfkhmlajkeegnjhe |
| Tackker – çevrimiçi keylogger aracı | ekpkdmohpdnebfedjjfklhpefgpgaaji |
| Yapay Zeka Mağazası Dostum | epikoohpebngmakjinphfiagogjcnddm |
| En eskiye göre sırala | miglaibdlgminlepgeifekifakochlka |
| Ödül Arama Otomatikleştiricisi | eanofdhdfbcalhflpbdipkjjkoimeeod |
| Earny – %20’ye Kadar Nakit İade | ogbhbgkiojdollpjbhbamafmedkeockb |
| ChatGPT Asistanı – Akıllı Arama | bgejafhieobnfpjlpcjjggoboebonfcg |
| Klavye Geçmişi Kaydedici | igbodamhgjohafcenbcljfegbipdfjpk |
| E-posta Avcısı | mbindhfolmpijhodmgkloeeppmkhpmhc |
| Google Meet için Görsel Efektler | yürüdüfdpcbemnbbcpclbmknkiaem |
| Cyberhaven güvenlik uzantısı V3 | pajkjnmeojmbapicmbpliphjmcekeaac |
Bu, iyi düşünülmüş, geniş çaplı bir saldırı olduğu anlamına geliyor. Güvenlik araştırmacıları hâlâ daha fazla açığa çıkan uzantılar arıyor ancak saldırının karmaşıklığı ve kapsamı, kuruluşların tarayıcı uzantılarını güvence altına almalarının önemini artırdı. Saldırganın kimliği henüz belirsizliğini koruyor.
İLGİLİ KONULAR
- Sahte ChatGPT Uzantısı Facebook Hesaplarını Ele Geçiriyor
- Pasif Renklerde Kötü Amaçlı Yazılım Barındıran Chrome Uzantıları
- EmailGPT Kusuru Kullanıcı Verilerini Riske Atıyor: Uzantıyı HEMEN Kaldırın
- Sahte Reklam Yöneticisi Kötü Amaçlı Uzantılar Facebook Hesaplarını Hedefliyor
- Reklam engelleyici Chrome uzantısı AllBlock, Google aramalarına reklam ekledi