Gelişmiş bir kötü amaçlı yazılım kampanyası, tespit edilmekten kaçınmak için gelişmiş steganografi teknikleri kullanan 17 kötü amaçlı uzantı dağıtarak Chrome, Firefox ve Edge kullanıcılarının güvenliğini tehlikeye attı.
Toplu olarak 840.000’den fazla kez indirilen GhostPoster işlemi, bugüne kadar belgelenen teknik açıdan en olgun ve kalıcı tarayıcı uzantısı tehditlerinden birini temsil ediyor.
GhostPoster kampanyası alışılmadık bir saldırı vektöründen yararlanıyor: tarayıcı uzantılarıyla birlikte verilen PNG simge dosyalarının içine kötü amaçlı yüklerin yerleştirilmesi.
Bu steganografik yaklaşım, tehdit aktörlerinin tarayıcı uzantısı pazarlarının kullandığı geleneksel statik analiz ve güvenlik inceleme süreçlerini atlamalarına olanak tanır.
Kötü amaçlı yazılım, maksimum gizlilik için tasarlanmış çok aşamalı bir enfeksiyon zinciri aracılığıyla çalışır. Kurulum sırasında uzantı, ilk yükleyiciyi içeren gizli ikili verileri çıkarmak için kendi simge dosyasını ayrıştırır.
Kötü amaçlı yazılım, hemen çalıştırılmak yerine, komuta ve kontrol iletişimini başlatmadan önce 48 saat veya daha uzun bir stratejik gecikme uygulayarak şüpheli kurulum sonrası etkinlikleri izleyen davranışsal tespit sistemlerinden kaçmasına olanak tanır.
Etkinleştirildikten sonra çıkarılan yükleyici, ek JavaScript yüklerini indirmek için uzak C2 altyapısıyla bağlantı kurar.
Bu modüler mimari, tehdit aktörlerinin uzantının kendisini değiştirmeden kötü amaçlı işlevleri güncellemesine olanak tanıyarak, operasyonel esneklik ve yayından kaldırma çabalarına karşı dayanıklılık sağlar.
Trafik Kaçakçılığı ve Dolandırıcılık
Etkinleştirme sonrası analiz, GhostPoster’ın finansal motivasyon ve teknik olgunluğu gösteren gelişmiş yeteneklere sahip olduğunu ortaya koyuyor.
Kötü amaçlı yazılım, İçerik Güvenliği Politikası (CSP) ve HTTP Sıkı Aktarım Güvenliği (HSTS) de dahil olmak üzere web güvenliği politikalarını zayıflatmak için HTTP başlıklarını soyarak ve enjekte ederek daha fazla istismara olanak tanıyan güvenlik açıkları yaratıyor.
Kampanyanın birincil para kazanma mekanizması, bağlı kuruluş trafiğinin ele geçirilmesini ve meşru yönlendirme komisyonlarının saldırgan tarafından kontrol edilen hesaplara yönlendirilmesini içerir.
Ek dolandırıcılık yetenekleri arasında, tıklama dolandırıcılığı işlemleri için iframe ve komut dosyası enjeksiyonu, göz atma oturumları arasında kullanıcı takibi ve yüksek değerli hedefleri koruyan güvenlik mekanizmalarını atlamak için programatik CAPTCHA çözme yer alır.
Koi Security’nin kötü amaçlı bir Firefox uzantısını ayrıntılarıyla anlatan Aralık 2025 tarihli yayınının ardından, daha sonraki araştırmalar kampanyanın gerçek kapsamını ortaya çıkardı.
Altyapı analizi, Firefox, Chrome ve Microsoft Edge platformlarında aynı gizleme modellerini, C2 davranışını ve gecikmeli yürütme stratejilerini paylaşan 17 uzantı tespit etti.
Adli deliller, operasyonun 2020 gibi erken bir tarihte Microsoft Edge’de başladığını ve daha sonra Firefox ve Chrome’a genişlediğini gösteriyor.
Beş yıllık operasyonel zaman çizelgesi, kampanyanın tüm büyük tarayıcı uzantısı mağazalarındaki güvenlik incelemelerini başarıyla atladığını gösteriyor ve mevcut inceleme süreçlerindeki önemli boşlukları vurguluyor.
Dinlenme Dönemi
Soruşturma sırasında keşfedilen gelişmiş değişkenler, tehdit aktörünün tekniklerinin sürekli olarak geliştiğini gösteriyor.
Özellikle karmaşık bir yineleme, uzantının arka plan komut dosyasına kötü amaçlı mantık yerleştirir; bu, paketlenmiş bir görüntü dosyasını alır ve ham bayt sırasını sınırlayıcı için (ASCII dizesi “>>>>”) tarar. Bu işaretçiyi takip eden tüm verilerin kodu çözülür ve chrome.storage.local dosyasında “instlogo” anahtarı altında saklanır.
Bu ikincil veri, ağ bağlantısı kurulmadan önce yaklaşık beş günlük uzatılmış bir hareketsizlik dönemi uygular.
Etkinleştirme sonrasında uzak sunuculardan içerik getirir, Base64 kodlu verileri çıkarır ve kodu çözülmüş JavaScript’i dinamik olarak çalıştırır.
Bu aşamalı yürütme akışı önemli avantajlar sağlar: daha uzun uyku hali süreleri algılama olasılığını azaltır, modüler mimari yük güncellemelerine olanak tanır ve kalıcılık mekanizmaları, kısmi yayından kaldırmalara rağmen operasyonun devam etmesini sağlar.
Mozilla ve Microsoft, onaylanmış kötü amaçlı uzantıları resmi pazarlarından kaldırmış olsa da, kullanıcı sistemlerine önceden yüklenmiş olan uzantılar, kullanıcılar tarafından açıkça kaldırılmadığı sürece tamamen çalışır durumda kalır.
Bu kalıcılık sınırlaması, özellikle gecikmeli etkinleştirme ve modüler veri yükü dağıtım mekanizmaları kullanan kötü amaçlı yazılımlar için, mağaza düzeyindeki yayından kaldırma işlemlerinin tam bir kontrol altına alma stratejisi olarak yetersizliğinin altını çiziyor.
Kullanıcılar, tanıdık olmayan veya kullanılmayan öğeleri kaldırarak yüklü tarayıcı uzantılarını derhal denetlemeli ve güvenlik ekipleri, anormal uzantı davranışını tespit etmek için izin verilenler listesine ekleme ve sürekli izlemeyi içeren tarayıcı uzantısı yönetimi politikalarını uygulamalıdır.
IOC’ler
| İD | İsim | Yüklemeler |
|---|---|---|
| maiackahflfnegibhinjhpbgeoldeklb | Sayfa Ekran Görüntüsü Kırpıcı | 86 |
| kjkhljbbodkfgbfnhjfdchkjacdhmeaf | Tam Sayfa Ekran Görüntüsü | 2.000 |
| ielbkcjohpgmjhoiadncabphkglejgih | Herşeyi Dönüştür | 17.171 |
| obocpangfamkffjllmcfnieeoacoheda | Seçilen Metni Google ile Çevir | 159.645 |
| dhnibdhcanplpdkcljgmfhbipehkgdkk | Youtube’dan İndir | 11.458 |
| gmciomcaholgmklbfangdjkneihfkddd | RSS Akışı | 2.781 |
| fbobegkkdmmcnmoplkgdmfhdlkjfelnb | Reklam Engelleme Ultimate | 48.078 |
| onlofoccaenllpjmalbnilfacjmcfhfk | Reklam Engelleyici | 10.155 |
| bmmchpeggdipgcobjbkcjiifgjdaodng | Renk Geliştirici | 712 |
| knoibjinlbaolannjalfdjiloaadnknj | Yüzen Oynatıcı – PiP Modu | 40.824 |
| jihipmfmicjjpbpmoceapfjmigmemfam | Tek Anahtar Çeviri | 10.785 |
| ajbkmeegjnmaggkhmibgckapjkohajim | Harika İmleç | 2.254 |
| fcoongackakfdmiincikmjgkedcgjkdp | Sağ Tıklamayla Google Çeviri | 522.398 |
| fmchencccolmmgjmaahfhpglemdcjfll | Seçili Metni Sağ Tıklamayla Çevir | 283 |
| Amazon-fiyat geçmişi | Amazon Fiyat Geçmişi | 1.197 |
| resmi pinterest’e kaydet | Sağ Tıklamayla Resmi Pinterest’e Kaydetme | 6.517 |
| instagram indirme | Instagram İndirici | 3.807 |
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.