Facebook’taki sahte Bitwarden şifre yöneticisi reklamları, tarayıcıdan hassas kullanıcı verilerini toplayan ve çalan kötü amaçlı bir Google Chrome uzantısını yayınlıyor.
Bitwarden, uçtan uca şifreleme, çapraz platform desteği, MFA entegrasyonu ve kullanıcı dostu bir arayüz içeren “ücretsiz” katmana sahip popüler bir şifre yöneticisi uygulamasıdır.
Kullanıcı tabanı son birkaç yılda, özellikle de rakiplerin güvenlik ihlallerinin birçok kişiyi alternatif aramaya yöneltmesinin ardından istikrarlı bir şekilde büyüyor.
Bitwarden’ı taklit eden yeni bir kötü amaçlı reklam kampanyası, araştırmacıları operasyonun 3 Kasım 2024’te başlatıldığını bildiren Bitdefender Labs tarafından tespit edildi.
Kaynak: Bitdefender
Kötü amaçlı Facebook reklamları
Facebook reklam kampanyası, kullanıcıları “Bitwarden’in eski bir sürümünü kullandıkları” ve şifrelerini güvence altına almak için programı derhal güncellemeleri gerektiği konusunda uyarıyor.
Reklamda yer alan bağlantı ‘chromewebstoredownload’dur[.]’chromewebstore.google.com’ adresindeki Google’ın resmi Chrome Web Mağazası gibi görünen ‘.com’.
Açılış sayfası ayrıca ‘Chrome’a Ekle’ düğmesi de dahil olmak üzere Chrome Web Mağazası’na çok benzeyen bir tasarıma sahiptir.
Kaynak: Bitdefender
Ancak bağlantıya tıkladığınızda uzantının otomatik olarak yüklenmesi yerine ziyaretçilerden Google Drive klasöründen bir ZIP dosyası indirmeleri istenir.
Bu açık bir tehlike işareti olsa da, Chrome Web Mağazası’na aşina olmayan kullanıcılar, web sayfasındaki talimatları izleyerek manuel kurulum işlemine devam edebilir.
Kurulum, Chrome’da ‘Geliştirici Modu’nun etkinleştirilmesini ve uzantının programa manuel olarak yüklenmesini gerektirir, dolayısıyla güvenlik kontrolleri esasen atlanır.
Uzantı, yüklendikten sonra ‘Bitwarden Password Manager’ sürüm 0.0.1 olarak kaydolur ve kullanıcı etkinliklerine müdahale etmesini ve bunları değiştirmesini sağlayan izinleri güvence altına alır.
Başlıca işlevleri şunlardır:
- Facebook çerezlerini, özellikle de kullanıcı kimliğini içeren ‘c_user’ çerezini toplayın.
- Genel API’leri kullanarak IP ve coğrafi konum verilerini toplayın
- Facebook’un Graph API’si aracılığıyla Facebook kullanıcı ayrıntılarını, hesap bilgilerini ve faturalandırma verilerini toplayın
- Meşruiyet veya aldatma amacıyla sahte yükleme mesajlarını görüntülemek için tarayıcı DOM’sini değiştirir.
- Hassas verileri kodlar ve saldırganların kontrolü altındaki bir Google Komut Dosyası URL’sine aktarır.
Satıcı yeni bir sürüm yayınladığında Chrome uzantıları otomatik olarak güncellendiğinden, bu riski azaltmak için Bitwarden kullanıcılarının uzantı güncellemelerini teşvik eden reklamları göz ardı etmeleri önerilir.
Uzantılar yalnızca Google’ın resmi web mağazası aracılığıyla veya projenin resmi web sitesindeki (bu durumda bitwarden.com) bağlantılar izlenerek kurulmalıdır.
Yeni bir uzantı yüklerken her zaman istenen izinleri kontrol edin ve çerezlere, ağ isteklerine ve web sitesi verilerine erişim içeren aşırı agresif isteklere yüksek şüpheyle yaklaşın.