Meta reklamverenleri sahte yapay zeka destekli reklam optimizasyon araçları aracılığıyla hedefleyen sofistike bir kampanya ortaya çıkarıldı ve siber suçlular, kimlik bilgilerini çalmak ve iş hesaplarını ele geçirmek için kötü niyetli krom uzantıları dağıtıyor.
Cyberseason Güvenlik Hizmetleri, “Madgicx Plus” adlı aldatıcı bir platform aracılığıyla Meta (Facebook/Instagram) reklamverenlerini özellikle hedefleyen gelişen bir kötü niyetli krom uzatma kampanyası belirledi.
Bu sahte AI odaklı reklam optimizasyon aracı, daha önce Domaintools tarafından belgelenen daha geniş bir kampanyanın en son yinelemesini temsil eder ve tehdit aktörlerinin mevcut altyapıyı geri dönüştürürken sosyal mühendislik taktiklerini nasıl uyarladığını gösterir.
Kampanya, sahte tarayıcı uzantılarını teşvik eden ikna edici taklit web siteleri oluşturarak, tanınmış bir reklam teknolojisi şirketi olan Madgicx’in meşru itibarından yararlanıyor.
![Örnek: HXXPS[:]// Gizlilik Kalkanı[.]World Lure web sitesi Madgicx uzantısını teşvik ediyor.](https://gbhackers.com/wp-content/uploads/2025/09/image6.webp)
Bu kötü niyetli araçlar, verimlilik arttırıcılar ve reklam performans optimize edicileri olarak pazarlanır, ancak aslında sofistike kimlik bilgisi hasat ve oturum kaçırma kötü amaçlı yazılım olarak işlev görür.
Güvenlik araştırmacıları, kötü niyetli uzantıları dağıtmak için kullanılan geniş bir profesyonel olarak hazırlanmış alan ağı keşfetti.
Cloudflare hizmetlerinin korunmasına rağmen, müfettişler favicon karmalarını analiz ederek ve Shodan gibi açık kaynaklı zeka araçlarından yararlanarak gerçek barındırma altyapısını başarıyla tanımladılar.
Bu fark, DNS yeniden yönlendirmesinden değil, yanıtları ana bilgisayar başlığına göre ayarlayan sunucu tarafı mantığından kaynaklanır.
![Aynı kampanyanın bir parçası olan Web Radar Uzantısı Web-Radar tarafından bağlandı[.]dünya.](https://gbhackers.com/wp-content/uploads/2025/09/image3.webp)
Soruşturmada, Gizlilik-Kalkan da dahil olmak üzere kampanya ile ilişkili 20’den fazla alan ortaya çıktı[.]dünya, madgxads[.]Dünya ve Madgicx-Plus[.]com.
Analiz, bu alanların, kullanıcıların WWW veya WWW olmayan varyantlarına erişip erişmediğine göre farklı içerik sunan gelişmiş sunucu tarafı mantığı kullandığını ve operatörlerin barındırma maliyetlerini azaltırken aynı altyapıdan birden fazla temalı kampanya çalıştırmasına izin verdiğini gösterdi.
Araştırmacılar, Hosting’i IP adresine geri izledi 185.245.104[.]195, daha önce kötü niyetli faaliyetlerle ilişkili bir servis sağlayıcı olan VDsina tarafından işletilmiştir.
Bu keşif, kampanyanın farklı aşamalarında altyapının yeniden kullanılmasını doğruladı ve izole taklitçi saldırıları yerine koordineli tehdit aktör operasyonlarını gösterdi.
Tehlikeli yetenekler
Kötü niyetli krom uzantılarının statik analizi, kapsamlı kullanıcı gözetimi ve hesap uzlaşmasını sağlayan endişe verici izinler ortaya koymuştur.
Uzantılar, tüm web siteleri için “host_permissions” ister, bunlara içerik komut dosyaları enjekte etme ve kullanıcının ziyaret ettiği herhangi bir etki alanında hassas verileri okuma yeteneği verir.
Özellikle, uzantıların kullanıcı bilgisi olmadan ağ trafiğini kesmesine ve değiştirmesine izin veren “DeclarativenTRequest” izinleri ile ilgilidir.
İçerik komut dosyası özellikleriyle birleştiğinde, bu, Facebook ve Gmail gibi platformlarda güvenlik denetimlerini atlayabilen güçlü tarayıcı işlevselliği oluşturur.
Uzantılar ayrıca, orijin başlıklarını belirli isteklerden kaldırarak çapraz orijin kaynak paylaşımı (CORS) politikalarından kaçınmak için teknikler de uygular.
Bu mekanizma, mağdurların mevcut oturum jetonlarını kullanarak yetkisiz API erişimini sağlar ve saldırganların şifrelerini gerektirmeden kullanıcıları taklit etmesine izin verir.
Dinamik analiz, veri toplamayı en üst düzeye çıkarmak için tasarlanmış sofistike iki aşamalı bir yaklaşım ortaya koydu.
Başlangıçta, uzantılar kullanıcıları Google hesaplarını bağlamaya teşvik ederek bu kimlik bilgilerini sürekli olarak yerel depolamada kalıcılık için saklar.
Saldırı daha sonra Facebook hesabı bağlantıları isteyerek, hesap uzlaşması için birden fazla yol oluşturarak yükselir.
Uzatma, “arayan = ext ‘parametresini içeren giden isteklerden kaynak başlıklarını çıkarmak için bir bildirim net istek kuralı kullanır.
Uzantılar, Madgicx-Plus’ta komut ve kontrol altyapısı ile iletişimi sürdürüyor[.]com, gerçek zamanlı veri eksfiltrasyonunu ve potansiyel olarak uzaktan komut yürütmeyi etkinleştirme.
Bu kalıcı bağlantı, tehdit aktörlerinin mağdur faaliyetlerini sürekli olarak izlemelerine ve zaman içinde erişimlerini genişletmelerine olanak tanır.
Evrim sinyalleri kalıcı tehdidi
Kampanyanın altyapısının birden fazla aşamada yeniden kullanılması, taktiklerini sürekli olarak uyarlayan sofistike tehdit aktörlerini gösteriyor.
Daha önce tamamen farklı uzatma kampanyalarıyla ilişkili alanlar, sahte Madgicx platformunu tanıtmak için yeniden tasarlanmış ve bağımsız saldırılardan ziyade koordineli operasyonları önermektedir.
Bu kalıcılık, uzantıların teknik karmaşıklığı ve geniş izin talepleri ile birleştiğinde, kampanyanın reklamveren hesaplarından ödün vermek ve değerli iş verilerini hasat etmek için daha büyük bir çabanın bir kısmını temsil ettiğini göstermektedir.
Yemlerin ve sürekli altyapı evriminin hızlı uyarlanması, muhtemelen daha da genişleyecek aktif bir tehdide işaret etmektedir.
Güvenlik uzmanları, dijital pazarlamacıların tarayıcı uzantıları, özellikle de reklam performansını optimize ettiğini iddia edenler yüklerken aşırı dikkat göstermelerini önermektedir.
Kuruluşlar, kimlik doğrulama ve hesap uzlaşmasını önlemek için sıkı uzantı onay süreçleri uygulamalı ve düzenli olarak yüklü tarayıcı eklentilerini denetlemelidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.