Çok sayıda bilgi hırsızı kötü amaçlı yazılım ailesi, depolanan çerezleri ve kullanıcı verilerini korumak için Temmuz 2024’te kullanıma sunulan Google Chrome’un Uygulamaya Bağlı Şifreleme güvenlik özelliğini atlatmak için yeni teknikler geliştirdi.
Uygulamaya Bağlı Şifreleme adlı bu gelişmiş güvenlik önlemi, Windows sistemlerinde depolanan çerezlerin güvenliğini artırmak için Temmuz 2024’te Chrome 127 sürümüyle kullanıma sunuldu.
Uygulamaya bağlı şifreleme, önceki Windows Veri Koruma API’si (DPAPI) şifreleme yöntemindeki güvenlik açıklarını gidermek üzere tasarlanmıştır. Ancak kötü amaçlı yazılım geliştiricileri, hassas kullanıcı verilerini çalma yeteneklerini sürdürmek için yeni bypass teknikleri geliştirerek hızla adapte oldular.
Elastic Security Labs, STEALC/VIDAR, METASTEALER, PHEMEDRONE, XENOSTEALER ve LUMMA dahil olmak üzere birçok kötü şöhretli kötü amaçlı yazılım ailesinin hassas tarayıcı verilerini çalmaya devam etmek için gelişmiş bypass yöntemleri uyguladığını gözlemledi.
Strategies to Defend Websites & APIs from Malware Attack -> Free Webinar
Bu kötü amaçlı yazılım çeşitleri, uzaktan hata ayıklama, Chrome işlemlerinin bellek okuması ve sistem belirteci manipülasyonu gibi çeşitli teknikler kullanıyor.
Çerez Korumasını Aşan Öne Çıkan Çalmalar
ÇALMA/VIDAR saldırgan güvenlik aracı ChromeKatz’ın bileşenlerini entegre ederek, şifrelenmemiş çerez değerlerini tarayıcının belleğinden çıkarmadan önce Chrome işlemlerini taramasına ve sonlandırmasına olanak tanır.
METASTEALER SYSTEM belirtecinin kimliğine bürünerek ve korunan verilerin şifresini çözmek için COM arayüzleri aracılığıyla Chrome’un yükseltme hizmetinden yararlanarak farklı bir yaklaşım kullanıyor. Yönetici ayrıcalıkları olmadan çalıştığı iddialarına rağmen testler, yükseltilmiş erişimin gerekli olduğunu ortaya çıkardı.
FEMEDRON Çerezleri ayıklamak için tarayıcının DevTools Protokolü aracılığıyla bağlantılar kurarak Chrome’un uzaktan hata ayıklama yeteneklerini kullanır. Kötü amaçlı yazılım, tespit edilmekten kaçınmak için Chrome pencerelerini ekranın dışına konumlandırarak gizlice çalışır.
Bu bypass tekniklerinin ortaya çıkışı, tarayıcı güvenliği açısından önemli bir zorluğu temsil etmektedir. Raporda, Google’ın Uygulamaya Bağlı Şifreleme özelliğinin kötü amaçlı yazılım yazarlarını daha karmaşık ve tespit edilebilir yöntemleri benimsemeye başarılı bir şekilde zorlasa da tehdidi tamamen durdurmadığı belirtiliyor.
Güvenlik uzmanları çeşitli şüpheli davranışların izlenmesini önermektedir:
- Tarayıcı çerezlerine erişen olağandışı işlemler
- Birden fazla Chrome işleminin sonlandırılması ve ardından yükseltme hizmetinin etkinleştirilmesi
- Beklenmeyen ana işlemlerden tarayıcı hata ayıklaması
- Chrome uygulama klasörlerinden çalıştırılan imzasız yürütülebilir dosyalar.
Güvenlik topluluğu bu gelişmeleri aktif olarak takip ediyor. Araştırmacılar, bu yeni tekniklerin başarılı olabileceğini ancak güvenlik araçlarının tanımlayabileceğinden daha fazla tespit edilebilir desen oluşturduğunu belirtiyor.
Kuruluşların, gelişen bu tehditleri tespit etmek için güçlü uç nokta izleme ve güvenlik araçlarına sahip olmaları tavsiye edilir.
Güvenlik önlemleri ile kötü amaçlı yazılım geliştiricileri arasında devam eden savaş, tarayıcı güvenliğinde sürekli yenilik ihtiyacını vurgulamaktadır.
Google’ın koruma mekanizmaları saldırganlar için çıtayı yükseltirken, kötü amaçlı yazılım ailelerinin hızla adapte olması, bu güvenlik sorununun kalıcı doğasını gösteriyor.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!