DarkSpectre adlı bir grup siber suçlunun, kötü amaçlı tarayıcı uzantıları tarafından yayılan üç kampanyanın arkasında olduğuna inanılıyor: ShadyPanda, GhostPoster ve Zoom Stealer.
Aralık 2025’te ShadyPanda kampanyası hakkında yazmıştık ve kullanıcıları, yıllardır normal şekilde davranan uzantıların birdenbire hileli hale geldiği konusunda uyarmıştık. Kötü amaçlı bir güncellemenin ardından bu uzantılar, tarama davranışını izleyebildi ve tarayıcının içinde kötü amaçlı kod çalıştırabildi.
Yine Aralık ayında araştırmacılar yeni bir kampanya olan GhostPoster’ı ortaya çıkardılar ve güvenliği ihlal edilmiş 17 Firefox eklentisi belirlediler. Kampanyanın, 50.000’den fazla indirilen kötü amaçlı Firefox uzantılarının resim logosunun içine JavaScript kodunu gizlediği ve saldırganların tarayıcı etkinliğini izlemesine ve bir arka kapı yerleştirmesine olanak tanıdığı ortaya çıktı.
Görüntülerde kötü amaçlı kod kullanılması steganografi adı verilen bir tekniktir. Önceki GhostPoster uzantıları, görüntü verilerini yükten ayırmak için ham baytlarda bir işaretleyici (örneğin, üç eşittir işareti) kullanarak “Sonsuza Kadar Ücretsiz VPN” gibi Firefox uzantıları için logo.png gibi PNG simgelerinin içine JavaScript yükleyici kodunu gizliyordu.
Daha yeni varyantlar, yükleri uzantı paketi içindeki rastgele görüntülere yerleştirmeye ve ardından çalışma zamanında bunların kodunu çözmeye ve şifrelerini çözmeye yöneldi. Bu, kötü amaçlı kodun araştırmacılar tarafından tespit edilmesini çok daha zorlaştırır.
Bu araştırmaya dayanarak, diğer araştırmacılar aynı grupla ilişkili, orijinal Firefox setinin ötesinde 17 eklenti daha buldu. Bunlar toplamda 840.000’den fazla kez indirildi ve bazıları beş yıla kadar aktif kaldı.
GhostPoster ilk olarak Microsoft Edge kullanıcılarını hedef aldı ve daha sonra saldırganların altyapılarını oluşturmasıyla Chrome ve Firefox’u da kapsayacak şekilde genişledi. Saldırganlar, uzantıları her tarayıcının web mağazasında, “Sağ Tıklamada Google Çeviri”, “Ads Block Ultimate”, “Seçilen Metni Google ile Çevir”, “Instagram İndirici” ve “Youtube İndirme” gibi adlarla görünüşte yararlı araçlar olarak yayınladılar.
Uzantılar ziyaret edilen siteleri, arama sorgularını ve alışveriş davranışlarını görerek saldırganların kullanıcıların alışkanlıkları ve ilgi alanlarına ilişkin ayrıntılı profiller oluşturmasına olanak tanıyor.
Diğer kötü amaçlı kodlarla birleştiğinde bu görünürlük, günümüzün birincil hedefi olmasa bile kimlik bilgisi hırsızlığı, oturum ele geçirme veya çevrimiçi bankacılık iş akışlarını hedef alan saldırıları kapsayacak şekilde genişletilebilir.
Nasıl güvende kalınır?
İnsanlara her zaman yalnızca resmi web mağazalarından uzantı yüklemelerini tavsiye etsek de, bu durum, orada bulunan tüm uzantıların güvenli olmadığını bir kez daha kanıtlıyor. Bununla birlikte, web mağazası dışından bir uzantı yüklemenin riski daha da büyüktür.
Web mağazasında listelenen uzantılar onaylanmadan önce bir inceleme sürecinden geçer. Otomatik ve manuel kontrolleri birleştiren bu süreç, uzantının güvenliğini, politikaya uygunluğunu ve genel kullanıcı deneyimini değerlendirir. Amaç, kullanıcıları dolandırıcılıklardan, kötü amaçlı yazılımlardan ve diğer kötü amaçlı etkinliklerden korumaktır.
Mozilla ve Microsoft, tespit edilen eklentileri mağazalarından kaldırdı ve Google, bunların Chrome Web Mağazası’ndan kaldırıldığını doğruladı. Ancak önceden yüklenmiş olan uzantılar, kullanıcılar bunları manuel olarak kaldırıncaya kadar etkin kalır.
Bu uzantılardan birini yüklemiş olabileceğinizden endişeleniyorsanız, tarayıcılarınız kapalıyken Malwarebytes Derin Tarama’yı çalıştırın.
- Malwarebytes’te Kontrol Paneli seçmek için yığılmış üç noktaya tıklayın Gelişmiş Tarama seçenek.
- üzerinde Gelişmiş Tarama sekme, seç Derin Tarama. Bu taramanın normalden daha fazla sistem kaynağı kullandığını unutmayın.
- Taramadan sonra bulunan tüm öğeleri kaldırın ve ardından tarayıcınızı/tarayıcılarınızı yeniden açın.
Manuel kontrol:
Keşfedilen 17 ek uzantının adları şunlardır:
- Reklam Engelleyici
- Reklam Engelleme Ultimate
- Amazon Fiyat Geçmişi
- Renk Geliştirici
- Herşeyi Dönüştür
- Harika İmleç
- Yüzen Oynatıcı – PiP Modu
- Tam Sayfa Ekran Görüntüsü
- Sağ Tıklamayla Google Çeviri
- Instagram İndirici
- Tek Anahtar Çeviri
- Sayfa Ekran Görüntüsü Kırpıcı
- RSS Akışı
- Sağ Tıklamayla Resmi Pinterest’e Kaydetme
- Seçilen Metni Google ile Çevir
- Seçili Metni Sağ Tıklamayla Çevir
- Youtube’dan İndir
Not: Aynı adlara sahip, kötü amaçlı olmayan uzantılar olabilir.
Yalnızca tehditleri rapor etmiyoruz; tüm dijital kimliğinizin korunmasına yardımcı oluyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Kimlik korumasını kullanarak sizin ve ailenizin kişisel bilgilerini koruyun.