Büyük bir kimlik avı kampanyası, toplu olarak yaklaşık 2,6 milyon kullanıcı tarafından kullanılan en az 35 Google Chrome uzantısını tehlikeye attı ve şüphelenmeyen kurbanlardan hassas bilgileri çalmak için kötü amaçlı kod enjekte etti.
İlk göstergeler, bilgisayar korsanlarının, uzantı yayıncılarını, saldırganlara projeleri üzerinde OAuth izinleri vermeleri için kandırmak amacıyla Google Chrome Web Mağazası Geliştirici Desteği’nden gelen resmi bildirimler gibi görünen aldatıcı e-postalar kullandıklarını gösteriyor.
Bunu yaparak, tehdit aktörleri çok faktörlü kimlik doğrulama önlemlerini atladı ve bu Chrome uzantılarının yeni, güvenliği ihlal edilmiş sürümlerini yükleme olanağı elde etti.
Güvenlik araştırmacıları, güvenlik açıklarının popüler sanal özel ağ (VPN) araçlarından yapay zeka destekli tarayıcı entegrasyonlarına ve üretkenlik eklentilerine kadar değiştiğini belirtiyor.
Birden fazla olayla ilgili açıklamalara göre, kötü amaçlı kod özellikle Facebook Reklamları kontrol panelleri başta olmak üzere sosyal medya hesaplarına ilişkin kullanıcı oturumu belirteçlerini, çerezleri ve kimlik bilgilerini çıkarmaya çalışıyor.
Bu kampanyanın öncelikli hedeflerinden biri, ücretli reklam özelliklerine erişimi olan kurumsal hesaplardır. Soruşturmalar ayrıca, kötü amaçlı JavaScript dosyalarındaki sabit kodlu komut ve kontrol (C2) etki alanlarını da ortaya çıkardı; bu, saldırganların yapılandırmaları uzaktan indirmesine ve özel kullanıcı verilerini sızdırmasına olanak sağladı.
Kaliforniya merkezli bir veri koruma şirketi olan Cyberhaven, ihlali ilk doğrulayanlar arasında yer aldı. Şirket, Noel arifesinde bir kimlik avı saldırısının bir çalışanın kimlik bilgilerini tehlikeye attığını ve bilgisayar korsanlarının Chrome uzantılarının kötü amaçlı bir sürümünü (sürüm 24.10.4) yayınlamasına olanak sağladığını açıkladı.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin
Etkilenen uzantılar arasında “AI Assistant”, “VPNCity”, “Reader Mode” ve “Web Mirror” ile bilinen en az 30 diğer tarayıcı aracı yer alıyor. Belgelenen birçok kavram kanıtında, etkinleştirildikten sonra ele geçirilen kod, kullanıcı oturumlarının veya çerezlerin ayrıntılarını saldırganın kontrolündeki sunuculara geri gönderir.
Başlangıçta 16 Chrome Uzantısının ele geçirildiği gözlemlendi ancak daha sonraki analizler, 2.600.000 kullanıcı tarafından yüklenen 35 uzantının ele geçirildiğini ortaya koyuyor.
35 Etkilenen Uzantı
| Uzantı Adı | Durum | Sürüm / Tanımlayıcı |
|---|---|---|
| Cookie nerede? | Henüz ele alınmadı | emedckhdnioeieppmeojgegjfkhdlaeo |
| Web Aynası | Henüz ele alınmadı | eaijffijbobmnonfhilihbejadplhddo |
| ChatGPT Uygulaması | Henüz ele alınmadı | lbneaaedflankmmgmfbmaplggbmjjmbae |
| Merhaba AI | Henüz ele alınmadı | hmiaoahjllhfgebflooeeeiafpkfde |
| Web3Şifre Yöneticisi | Henüz ele alınmadı | pdkmmfdfggfpibdjbbghggcllhhainjo |
| EvetCaptcha asistanı | Henüz ele alınmadı | [email protected] |
| Favori Simgesi Değiştirici | Adreslendi | 5.1 / [email protected] |
| Proxy SwitchyOmega (V3) | Henüz ele alınmadı | [email protected] |
| GraphQL Ağ Denetleyicisi | Adreslendi | 2.22.7 / [email protected] |
| Yapay Zeka Asistanı | Mağazadan kaldırıldı | bibjgkidgpfbblifamdlkdlhgihmfohh |
| Bard AI sohbeti | Mağazadan kaldırıldı | pkgciiiancapdlpcbppfkmeaieppikkk |
| Google Meet için ChatGPT | Mağazadan kaldırıldı | epdjhgbipjpbbhoccdeipghoihibnfja |
| Chrome için Copilot AI Assistant’ı arayın | Mağazadan kaldırıldı | bbdnohkpnbkdkmnkddobeafboooinpla |
| TinaZihin | Adreslendi | 2.14.0 / befflofjcniongenjmbkgkoljhgliihe |
| Yapay Zekanın Yolu | Adreslendi | 0.0.11 / cedgndijpacnfbdggppddacngjfdkaca |
| VPNŞehir | Henüz ele alınmadı | nnpnnpemnckcfdebeekibpiijlicmpom |
| Internxt VPN’i | Adreslendi | 1.2.0 / dpggmcodlahmljkhlmpgpdcffdaoccni |
| Vidnoz Flex | Mağazadan kaldırıldı | cplhlgabfijoiabgkigdafklbhhdkahj |
| VidHelper | Henüz ele alınmadı | egmennebgadmncfjafcemlecimkepcle |
| Kastorus | Adreslendi | 4.41 / mnhffkhmpnefgklngfmlndmkimimbphc |
| Ses | Henüz ele alınmadı | oaikpkmjciadfpddlpjjdapglcihgdle |
| Okuyucu Modu | Henüz ele alınmadı | fbmlcbhdmilaggedifpihjgkkmdgeljh |
| Papağan Konuşmaları | Henüz ele alınmadı | kkodiihpgodmdankclfibbiphjkfdenh |
| primus | Adreslendi | 3.20.0 / oeiomhmbaapihbilkfkhmlajkeegnjhe |
| Klavye Geçmişi Kaydedici | Henüz ele alınmadı | igbodamhgjohafcenbcljfegbipdfjpk |
| ChatGPT Asistanı | Henüz ele alınmadı | bgejafhieobnfpjlpcjjggoboebonfcg |
| Okuyucu Modu | Mağazadan kaldırıldı | llimhhconnjiflfimocjggfjdlmlmlhblm |
| Google Meet için Görsel Efektler | Adreslendi | 3.2.4 / hodiladlefdpcbemnbbcpclbmknkiaem |
| Yapay Zeka Mağazası Dostum | Henüz ele alınmadı | epikoohpebngmakjinphfiagogjcnddm |
| Cyberhaven V3 Güvenlik Uzantısı | Adreslendi | pajkjnmeojmbapicmbpliphjmcekeaac |
| Kazançlı | Henüz ele alınmadı | oghbgbkiojdollpjbhbamafmedkeockb |
| Ödül Arama Otomatikleştiricisi | Henüz ele alınmadı | eanofdhdfbcalhflpbdipkjjkoimeeod |
| Teşekkür ederim | Adreslendi | ekpkdmohpdnebfedjjfklhpefgpgaaji |
| Göre sırala | Henüz ele alınmadı | miglaibdlgminlepgeifekifakochlka |
| E-posta Avcısı | Henüz ele alınmadı | mbindhfolmpijhodmgkloeeppmkhpmhc |
Bu alan adlarının çoğunun daha önceki aylarda kaydedilip test edildiği tespit edildi; bu da kampanyanın Mart 2024’te başlamış olabileceğine işaret ediyor.
Raporlar, araştırmacılar yeni keşfedilen komuta ve kontrol alt alanlarını analiz etmeye devam ettiği sürece, hedeflenen uzantıların toplam sayısının kamuya açık olarak onaylanan 35’i aşabileceğini gösteriyor.
Birincil saldırı vektörü, geliştiricileri “açıklamadaki gereksiz ayrıntılar” veya “yanıltıcı meta veriler” konusunda uyaran, Google’dan gelen bir uyumluluk veya ihlal bildirimi görünümüne bürünmüş karmaşık bir kimlik avı e-postası gibi görünüyor.
Alıcılar bağlantıyı tıkladıklarında, “Gizlilik Politikası Uzantısı” adlı bir uygulamanın görünüşte meşru bir Google giriş sayfasına yönlendirildiler. Burada erişim izni vermek, saldırganların geliştiricilerin Chrome Web Mağazası hesaplarının kontrolünü ele geçirmesine, üzerinde oynanmış güncellemeler yayınlamasına ve anında şüphe yaratmadan bunları doğrudan kullanıcılara iletmesine olanak tanıdı.
Kötü amaçlı veri yüklerinin analizi, bilgisayar korsanlarının popüler platformlardan çerezleri toplayıp bunları yerel depolamaya kaydedip harici C2 sunucularına göndermeyi amaçladıklarını gösteriyor.
Bazı kanıtlar Facebook ile ilgili tokenların ve ticari pazarlama araçlarının istismar edildiğine işaret etse de uzmanlar, yapay zeka araçları ve kurumsal platformlarla ilgili ikincil hedeflerin de işin içinde olabileceği konusunda uyarıyor.
Güvenlik araştırmacıları, kullanıcılara ve kuruluşlara, güvenliği ihlal edilmiş bu uzantıları derhal kaldırmalarını veya güncellemelerini tavsiye ediyor. Resmi öneriler arasında şifrelerin sıfırlanması, etkin oturumların iptal edilmesi, tarayıcı uzantısı izinlerinin gözden geçirilmesi ve kişisel ve ticari hesaplardaki olağandışı etkinliklerin izlenmesi yer alıyor. Geliştiricilerin kimlik avı girişimlerine karşı dikkatli olmaları ve güçlü uygulama güvenlik kontrollerini etkinleştirmeleri isteniyor.
Pek çok uzantı kaldırılmış veya yamalanmış olsa da durum hâlâ gelişmeye devam ediyor. Kullanıcılar sık sık uzantıların meşruiyetini doğrulamalı, tarayıcıları ve eklentileri güncellemeli ve Google’dan geldiği iddia edilen ani politika ihlali mesajlarıyla karşı karşıya kaldıklarında dikkatli davranmalıdır.