İki kötü amaçlı tarayıcı uzantısı kampanyasının (ShadyPanda ve GhostPoster) arkasındaki tehdit aktörünün, DarkSpectre kod adlı üçüncü bir saldırı kampanyasıyla ilişkilendirildiği ve 2,2 milyon Google Chrome, Microsoft Edge ve Mozilla Firefox kullanıcısını etkilediği düşünülüyor.
Faaliyetin, Koi Security’nin takma adla takip ettiği Çinli bir tehdit aktörünün işi olduğu değerlendiriliyor DarkSpectre. Toplamda kampanyalar, yedi yılı aşkın bir süre boyunca 8,8 milyondan fazla kullanıcıyı etkiledi.
ShadyPanda’nın maskesi, veri hırsızlığını, arama sorgusunun ele geçirilmesini ve bağlı kuruluş dolandırıcılığını kolaylaştırmak için üç tarayıcı kullanıcısını da hedef alan siber güvenlik şirketi tarafından ilk kez bu ayın başlarında ortaya çıkarıldı. Aynı kümeye bağlı olduğu işaretlenen 100’den fazla uzantıdan kaynaklanan yeni tespit edilen 1,3 kurban da dahil olmak üzere 5,6 milyon kullanıcıyı etkilediği tespit edildi.
Bu aynı zamanda, kötü niyetli davranışını tetiklemeden önce üç gün bekleyen bir mantık bombasına sahip olan “Yeni Sekme – Özelleştirilmiş Kontrol Paneli” adlı bir Edge eklentisini de içerir. Zaman gecikmeli aktivasyon, inceleme süresi boyunca meşru olduğu izlenimini verip onaylatmaya yönelik bir girişimdir.
Bu uzantılardan dokuzu şu anda aktif ve ek olarak 85 “uyku halindeki uyuyan” da iyi huylu ve kötü amaçlı güncellemeler yoluyla silah haline getirilmeden önce bir kullanıcı tabanını çekmeyi amaçlıyor. Koi, güncellemelerin bazı durumlarda beş yıldan uzun bir süre sonra uygulamaya konulduğunu söyledi.
İkinci kampanya olan GhostPoster ise çoğunlukla Firefox kullanıcılarına odaklanıyor ve onları görünüşte zararsız yardımcı programlar ve bağlı kuruluş bağlantılarını ele geçirmek, izleme kodu enjekte etmek ve tıklama ve reklam sahtekarlığı yapmak üzere tasarlanmış kötü amaçlı JavaScript kodları sunmak için VPN araçlarıyla hedefliyor. Etkinlikle ilgili daha fazla araştırma, yaklaşık bir milyon yüklemeye sahip Opera için Google Çeviri (geliştirici “charliesmithbons”) uzantısı da dahil olmak üzere daha fazla tarayıcı eklentisini ortaya çıkardı.
DarkSpectre tarafından başlatılan üçüncü kampanya, Chrome, Edge ve Firefox’ta gömülü şifreler içeren toplantı URL’leri, toplantı kimlikleri, konular, açıklamalar, planlanan saatler ve kayıt durumu gibi çevrimiçi toplantıyla ilgili verileri toplayarak kurumsal toplantı bilgilerine yönelik 18 uzantıdan oluşan bir dizi içeren The Zoom Stealer’dır.
Tanımlanan uzantıların listesi ve bunlara karşılık gelen kimlikler aşağıdadır –
Google Chrome –
- Chrome Ses Yakalama (kfokdmfpdnokpmpbjhjbcabgligoelgp)
- ZED: Zoom Kolay İndirici (pdadlkbckhinonakkfkdaadceojbekep)
- X (Twitter) Video İndirici (akmdionenlnfcipmdhbhcnkighafmdha)
- Google Meet Otomatik Kabulü (pabkjoplheapcclldpknfpcepheldbga)
- Zoom.us Her Zaman “Web’den Katıl” seçeneğini Göster (aedgpiecagcpmehhelbibfbgpfiafdkm)
- Google Meet için Zamanlayıcı (dpdgjbnanmmlikideilnpfjjdbmneanf)
- CVR: Chrome Video Kaydedici (kabbfhmcaaodobkfbnnehopcghicgffo)
- GoToWebinar ve GoToMeeting Kayıtları İndirin (cphibdhgbdoekmkkcbbaoogedpfibeme)
- Otomatik kabulle tanışın (ceofheakaalaecnecdkdanhejojkpeai)
- Google Meet Tweak (Emojiler, Metin, Kamera Efektleri) (dakebdbeofhmlnmjlmhjdmmjmfohiicn)
- Meet’te Tümünün Sesini Kapat (adjoknoacleghaejlggocbakidkoifle)
- Google Meet Bas-Konuş (pgpidfocdapogajplhjofamgeboonmmj)
- Facebook, Instagram, + için Fotoğraf İndirici (ifklcpoenaammhnoddgedlapnodfcjpn)
- Zoomcoder Uzantısı (ebhomdageggjbmomenipfbhcjamfkmbl)
- Google Meet’e otomatik katılma (ajfokipknlmjhcioemgnofkpmdnbaldi)
Microsoft Kenar –
- Kenar Ses Yakalama (mhjdjckeljinofckdibjiojbdpapoecj)
MozillaFirefox –
- Twiter X Video Downloader ({7536027f-96fb-4762-9e02-fdfaedd3bfb5}, “invaliddejavu” tarafından yayınlandı)
- x-video-downloader ([email protected], “invaliddejavu” tarafından yayınlandı)
Uzantıların adlarından da anlaşılacağı gibi, bunların çoğunluğu, bir WebSocket bağlantısı üzerinden gerçek zamanlı olarak toplantı bağlantılarını, kimlik bilgilerini ve katılımcı listelerini sızdırmak için Google Meet, Zoom ve GoTo Webinar gibi kurumsal odaklı video konferans uygulamalarına yönelik araçları taklit edecek şekilde tasarlanmıştır.
Ayrıca, bir kullanıcı, uzantılardan birinin yüklü olduğu tarayıcı aracılığıyla bir web semineri kayıt sayfasını her ziyaret ettiğinde, web semineri konuşmacıları ve toplantı sahipleri hakkında adlar, unvanlar, biyografiler, profil fotoğrafları ve şirket bağlantıları ile birlikte logolar, tanıtım grafikleri ve oturum meta verileri gibi ayrıntıları toplama kapasitesine sahiptir.
Bu eklentilerin, ilk etapta erişim gerektirip gerektirmediklerine bakılmaksızın aralarında Cisco WebEx, Google Meet, GoTo Webinar, Microsoft Teams ve Zoom’un da bulunduğu 28’den fazla video konferans platformuna erişim talep ettiği tespit edildi.
Araştırmacılar Tuval Admoni ve Gal Hachamov, “Bu tüketici dolandırıcılığı değil, kurumsal casusluk altyapısıdır” dedi. “Zoom Stealer daha hedefe yönelik bir şeyi temsil ediyor: kurumsal toplantı bilgilerinin sistematik bir şekilde toplanması. Kullanıcılar reklamı yapılanı aldı. Uzantılar güven kazandı ve olumlu eleştiriler kazandı. Bu arada gözetim arka planda sessizce çalışıyordu.”
Siber güvenlik şirketi, toplanan bilgilerin, verileri diğer kötü aktörlere satarak kurumsal casusluğu körüklemek ve sosyal mühendislik ve büyük ölçekli kimliğe bürünme operasyonlarına olanak sağlamak için kullanılabileceğini söyledi.
Operasyonla ilgili Çin bağlantıları birkaç ipucuna dayanıyor: Alibaba Cloud’da barındırılan komuta ve kontrol (C2) sunucularının tutarlı kullanımı, Hubei gibi Çin eyaletleriyle bağlantılı İnternet İçerik Sağlayıcısı (ICP) kayıtları, Çince dizeler ve yorumlar içeren kod yapıları ve özellikle JD.com ve Taobao gibi Çin e-ticaret platformlarını hedefleyen dolandırıcılık planları.
Koi, “DarkSpectre’ın şu anda muhtemelen daha fazla altyapısı var; meşru oldukları için şimdilik tamamen meşru görünen uzantılar” dedi. “Hala güven oluşturma aşamasındalar, kullanıcı biriktiriyorlar, rozetler kazanıyorlar ve bekliyorlar.”