Yeni bir kampanya adı HayaletPoster bağlı kuruluş bağlantılarını ele geçirmek, izleme kodu enjekte etmek ve tıklama ve reklam sahtekarlığı yapmak üzere tasarlanmış kötü amaçlı JavaScript kodunu yerleştirmek için 17 Mozilla Firefox tarayıcı eklentisiyle ilişkili logo dosyalarından yararlandı.
Kampanyayı keşfeden Koi Security’ye göre uzantılar toplu olarak 50.000’den fazla kez indirildi. Eklentiler artık mevcut değil.
Bu tarayıcı programlarının reklamı VPN’ler, ekran görüntüsü yardımcı programları, reklam engelleyiciler ve Google Çeviri’nin resmi olmayan sürümleri olarak yapıldı. En eski eklenti olan Dark Mode, 25 Ekim 2024’te yayınlandı ve tüm web siteleri için karanlık bir temayı etkinleştirme olanağı sunuyordu. Tarayıcı eklentilerinin tam listesi aşağıdadır –
- Ücretsiz VPN
- Ekran görüntüsü
- Hava durumu (en iyi hava tahmini)
- Fare Hareketi (crxMouse)
- Önbellek – Hızlı site yükleyici
- Ücretsiz MP3 İndirici
- Google Çeviri (google-çeviri-sağ tıklamalar)
- Google Çeviri
- Küresel VPN – Sonsuza Kadar Ücretsiz
- Dark Reader Karanlık Modu
- Çevirmen – Google Bing Baidu DeepL
- Hava durumu (hava durumunu severim)
- Google Çeviri (google-translate-pro-uzantısı)
- Google Çeviri
- librtv-ücretsiz-videolar izle
- Reklam Durdurma – En İyi Reklam Engelleyici
- Google Çeviri (sağ tıklama-google-çeviri)
Güvenlik araştırmacıları Lotan Sery ve Noga Gouldman, “Aslında sundukları şey, göz attığınız her şeyi izleyen, tarayıcınızın güvenlik korumalarını ortadan kaldıran ve uzaktan kod yürütme için bir arka kapı açan çok aşamalı bir kötü amaçlı yazılım yüküdür” dedi.
Yukarıda belirtilen uzantılardan biri yüklendiğinde logo dosyasının getirilmesiyle saldırı zinciri başlar. Kötü amaçlı kod, harici bir sunucuya (“www.liveupdt) ulaşan bir yükleyici olan JavaScript kodunu çıkarmak için “===” işaretini içeren bir işaretleyici aramak üzere dosyayı ayrıştırır.[.]com” veya “www.dealctr[.]com”) ana yükü almak için, her deneme arasında 48 saat bekleyerek.
Tespitten daha fazla kaçınmak için yükleyici, yükü yalnızca %10 oranında getirecek şekilde yapılandırılmıştır. Bu rastgelelik, ağ trafiğini izleme çabalarından kaçınmak için sunulan kasıtlı bir seçimdir. Alınan veri, kurbanların bilgisi olmadan tarayıcı etkinliklerinden dört farklı yolla para kazanma yeteneğine sahip, özel olarak kodlanmış kapsamlı bir araç setidir:
- Taobao veya JD.com gibi e-ticaret sitelerine giden bağlı kuruluş bağlantılarını keserek meşru bağlı kuruluşları komisyonlarından mahrum bırakan bağlı kuruluş bağlantısı ele geçirme
- Mağdurun ziyaret ettiği her web sayfasına sessizce profilini çıkarmak için Google Analytics izleme kodunu yerleştiren izleme enjeksiyonu
- Content-Security-Policy ve X-Frame-Options gibi güvenlik başlıklarını HTTP yanıtlarından kaldırarak kullanıcıları tıklama ve siteler arası komut dosyası çalıştırma saldırılarına maruz bırakan güvenlik başlığı çıkarma
- Saldırganın kontrol ettiği sunuculardan URL’ler yüklemek ve reklam ve tıklama sahtekarlığına olanak sağlamak için sayfalara görünmez iframe’ler enjekte eden gizli iframe enjeksiyonu
- CAPTCHA zorluklarını aşmak ve bot tespit korumalarından kaçmak için çeşitli yöntemler kullanan CAPTCHA bypass’ı
Araştırmacılar, “Kötü amaçlı yazılımların neden CAPTCHA’ları atlaması gerekiyor? Çünkü gizli iframe enjeksiyonları gibi bazı işlemleri bot tespitini tetikliyor” diye açıkladı. “Kötü amaçlı yazılımın çalışmaya devam edebilmesi için ‘insan’ olduğunu kanıtlaması gerekiyor.”
Olasılık kontrollerinin yanı sıra eklentiler, kötü amaçlı yazılımın kurulumdan sonraki altı günden daha uzun bir süreye kadar etkinleşmesini engelleyen zamana dayalı gecikmeler de içeriyor. Bu katmanlı kaçınma teknikleri, sahne arkasında neler olup bittiğini tespit etmeyi zorlaştırıyor.
Yukarıdaki uzantıların hepsinin aynı steganografik saldırı zincirini kullanmadığını ancak hepsinin aynı davranışı sergilediğini ve aynı komuta ve kontrol (C2) altyapısıyla iletişim kurduğunu burada vurgulamakta fayda var; bu da bunun farklı tuzaklar ve yöntemler deneyen tek bir tehdit aktörünün veya grubunun işi olduğunu gösteriyor.
Bu gelişme, Google Chrome ve Microsoft Edge için popüler bir VPN uzantısının gizlice ChatGPT, Claude ve Gemini’den yapay zeka konuşmalarını toplayıp bunları veri aracılarına sızdırırken yakalanmasından yalnızca birkaç gün sonra gerçekleşti. Ağustos 2025’te FreeVPN.One adlı başka bir Chrome uzantısının ekran görüntüleri, sistem bilgileri ve kullanıcıların konumlarını topladığı gözlemlendi.
Koi Security, “Ücretsiz VPN’ler gizlilik vaat ediyor, ancak hayatta hiçbir şey bedava gelmiyor” dedi. “Bunun yerine tekrar tekrar gözetim sağlıyorlar.”