Tehdit aktörlerinin, meşru platformlar olarak maskelenen kötü niyetli krom uzantıları dağıtarak yapay zeka araçlarının artan popülaritesini kullandıkça siber güvenlik eğilimi ortaya çıkmıştır.
Bu aldatıcı uzantılar, ChatGPT, Claude, şaşkınlık ve Meta Lama gibi popüler hizmetlere uygun erişim arayan kullanıcıları hedefliyor ve şüphesiz bireyler ve kuruluşlar için önemli bir güvenlik riski yaratıyor.
Kötü niyetli kampanya, tarayıcı tabanlı saldırılarda sofistike bir evrimi temsil eder ve kullanıcıların ana akım tarayıcı uzatma mağazalarında yer alan güvenden yararlanır ve konuşma zekası platformlarının yaygın olarak benimsenmesi.
Bu sahte uzantılar başlangıçta işlevsel görünür, kullanıcıların doğrudan krom arama çubuğuna istemi yazmasına izin verir, arka planda gizlice kötü amaçlı işlemler yürütürken meşru işlevsellik yanılsaması oluşturur.
Tehdit, benzer kampanyaların önceki yinelemeleri binlerce kullanıcıyı etkileyen önemli ölçüde erişim ve kalıcılık göstermiştir.
Palo Alto Networks analistleri, bu yenilenen etkinliği tarayıcı uzantısı ekosistemlerini hedefleyen daha geniş bir trendin bir parçası olarak tanımladı ve saldırganların başarı oranlarını en üst düzeye çıkarmak için gelişmekte olan teknoloji eğilimlerini kullanmaya yönelik stratejik kaymayı vurguladı.
Bu kötü niyetli uzantılar, kullanıcı tarama davranışını ve veri güvenliğini temelden tehlikeye atan özenle düzenlenmiş bir enfeksiyon mekanizması ile çalışır.
Uzantılar, Chrome’ların yararlanarak kalıcılık chrome_settings_overrides Açık kullanıcı izni veya farkındalığı olmadan tarayıcının varsayılan arama motoru yapılandırmasını kalıcı olarak değiştirmelerine olanak tanıyan açık izin.
Teknik uygulama
Teknik uygulama, tüm arama sorgularını ChatGptForChrome dahil olmak üzere saldırgan kontrollü alanlara yeniden yönlendirmeyi içerir[.]com, dinershtein[.]com ve gen-ai-arama[.]com.
Bu yeniden yönlendirme mekanizması, kötü niyetli altyapıyı etkin bir şekilde ortada bir adam olarak konumlandırır ve gizli bilgiler, kişisel veriler veya özel iş zekası içerebilecek hassas kullanıcı sorgularını yakalar.
Tehdit aktörleri mevcut kampanyalarında sekiz spesifik uzatma tanımlayıcısı tanımladılar: akfnjopjnnemejchppfpomneiiini (claude arama), boofekcjiojcpcehaldjhjfhcienopme (daha önce bildirilen chatgpt ekstansiyonu), bpheoosinjpbchkmddghggggt (bpheoocinjpbchkmdggd (bpkggggggggggggd ( ecimcibolpbgimkehmclafnifblhmkbb (şaşkınlık arama), jhjbaicgmecddbaobeobkikgmfffaeg (chrome için chat ai), jijilhfkldabicahgkmgjglmggnkpb (genaisarch) lnjebiohklcfainmilcdoakkbjlkdpn (chatgpt arama) ve pjcfmnfappcoomegbhlaahhdnhnapeb (meta llama arama).
Dağıtım yöntemleri, saldırganların modern dijital pazarlama tekniklerini ve kullanıcı edinme stratejilerini anlamasını gösteren YouTube promosyon içeriğini kullanan sofistike sosyal mühendislik kampanyalarını içerir.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
