Yakın zamanda ortaya çıkan bir siber güvenlik açıklamasında, kurnazca VPN görünümüne bürünen kötü amaçlı web uzantıları aracılığıyla bir aldatma ağı ören son derece karmaşık bir siber saldırı kampanyası ortaya çıktı.
Bir siber güvenlik firması olan ReasonLabs, gizli web uzantılarını içeren çevrimiçi korsanlık taktiklerini keşfetti.
Saldırganlar, birincil saldırı vektörleri olarak GTA ve Assassin’s Creed gibi popüler oyunların yer aldığı korsan oyun torrentlerinin cazibesinden yararlanarak çok yönlü bir strateji kullandılar.
Bu sinsi kampanyanın odak noktası, Chrome kullanıcıları için “netPlus” ve Edge meraklıları için “netSave/netWin” kılığına giren sahte VPN uzantılarının dağıtımı etrafında dönüyor.
Şaşırtıcı bir şekilde, bu uzantılar 1,5 milyonluk şaşırtıcı bir indirme sayısına ulaşmayı başardı ve şüphelenmeyen kullanıcıları bir tehlike alanına fırlattı.
Kaynak: chrome-stats
Bu sinsi uzantıların düzenlediği kötü niyetli faaliyetler geniş kapsamlıdır.
Bunlar arasında tarayıcı etkinliğinin ve web isteklerinin ele geçirilmesi, rakip para iadesi uzantılarının devre dışı bırakılması ve bunların manipülasyon yeteneklerini güçlendirmek için gizlice ek uzantılar yüklenmesi yer alıyor.
Bu gizli operasyonun arkasındaki potansiyel nedenler arasında kullanıcı verilerinin toplanması ve izinsiz reklamların enjekte edilmesi yer alıyor.
Ek Bilgiler
Korsan oyun torrentlerine yerleştirilmiş Truva atı yükleyicisi, saldırının teknik inceliklerini derinlemesine inceleyerek, bu kötü niyetli uzantıları zorla yüklemek için yenilikçi bir kayıt yöntemi kullanıyor.
Ayrıca bu uzantılar, komuta ve kontrol (C2) sunucuları ile iletişim kanalları kurarak, ağ analizinde Rusya merkezli alanlarla endişe verici bir bağlantıyı ortaya çıkarıyor.
Bu siber saldırının sonuçları çok derin: Kullanıcı gizliliğinin tehlikeye atılması, para iadesi manipülasyonu ve reklam enjeksiyonu yoluyla potansiyel finansal kazançlar için tarama faaliyetinin manipüle edilmesi ve kullanıcıların kimlik hırsızlığı ve diğer siber suçlara ilişkin artan risklere maruz bırakılması.
Ek bilgiler ortaya çıkarıldığında, saldırı kampanyasının tarayıcı güvenlik önlemlerini aşmak için gelişmiş teknikler kullanarak özellikle Rusça konuşan kullanıcıları hedef aldığı ortaya çıktı.
Google, tespit edilen tüm uzantıları derhal Chrome Web Mağazası’ndan kaldırarak, platformların kullanıcıları bu tür tehditlere karşı korumada oynadığı hayati rolün altını çizerek hızlı bir önlem aldı.
Öneri
Bu açıklamanın ardından kullanıcıların dikkatli davranması ve resmi olmayan kaynaklardan, özellikle de korsan dosyalardan içerik indirmekten kaçınması gerekiyor.
Temel önlemler, tarayıcı korumasıyla donatılmış güçlü antivirüs ve kötü amaçlı yazılımdan koruma yazılımlarının dağıtımını içerir.
Kullanıcılardan, yüklemeden önce tarayıcı uzantılarını titizlikle incelemeleri ve olası tehditlere karşı tetikte olmaları isteniyor.
Sürekli gelişen siber suç ortamıyla mücadelede kolektif çabalar hayati önem taşıdığından, herhangi bir şüpheli faaliyetin ilgili makamlara bildirilmesinin önemi göz ardı edilemez.