Siber suçlular, meşru AI hizmetleri olarak maskelenen kötü niyetli krom tarayıcı uzantılarını dağıtarak yapay zeka araçlarının artan popülaritesinden yararlanıyor.
Chatgpt, Claude, şaşkınlık ve Meta’s Llama gibi popüler AI platformlarını taklit eden bu sahte uzantılar, kullanıcı istemlerini ele geçirmek ve kötü niyetli amaçlar için saldırgan kontrollü alanlara yönlendirmek için tasarlanmıştır.
Palo Alto Networks ‘Unit42’den güvenlik araştırmacıları, Ağustos 2025’ten önceki araştırmalarına dayanarak AI araçları olarak poz veren kötü amaçlı tarayıcı uzantılarının bir eğilimi belirlediler.
Bu uzantılar, kullanıcıların tarama faaliyetlerine sızmak ve hassas bilgileri çalmak için iyi bilinen AI markalarına olan güveninden yararlanmaktadır.
Kötü niyetli uzantılar, kullanıcıların AI istemlerini doğrudan Chrome’un arama çubuğuna yazmasına izin vererek, meşru işlevsellik yanılsaması oluşturarak çalışır.
Bununla birlikte, bu istemleri gerçek AI hizmetleri aracılığıyla işlemek yerine, uzantılar verileri kaçırır ve sorguları tehdit aktörleri tarafından kontrol edilen alanlara yönlendirir.
Teknik saldırı yöntemleri
Bu kötü niyetli uzantılar, kullanıcı güvenliğini tehlikeye atmak için sofistike teknikler kullanır. Chrome’un varsayılan arama motoru ayarlarını geçersiz kılıyorlar. chrome_settings_overrides Anahtar anahtarı, saldırgan kontrollü altyapı aracılığıyla tüm arama sorgularını etkili bir şekilde yönlendirin.
Bu kampanyada tanımlanan birincil kötü niyetli alanlar arasında chatgptforchrome[.]com, dinershtein[.]com ve gen-ai-arama[.]com. Bu alan adları, kaçırılan istemler için toplama noktaları olarak işlev görür ve kullanıcıların tarama etkinliklerinin kapsamlı bir şekilde izlenmesini sağlar.
Bu tehdit kampanyası, araştırmacılar chatgptforchrome ile bağlantılı ‘ai chatgpt’ adlı bir uzantıyı ilk tanımladıklarında 2023 yılına dayanan kökler var.[.]com alanı.
Bu önceki sürüm yaklaşık 15.800 kullanıcıya ulaştı ve Facebook hesap kimlik bilgilerini çalmak için özel olarak tasarlanmış gizlenmiş JavaScript içeriyordu.
Mevcut yineleme, aynı kötü amaçlı alan altyapısını kullanarak ‘Chrome için Chat AI’ adlı yeni bir uzatma ile bu tehdidin evrimini göstermektedir.
Bu uzantılar, kullanıcıları kurulum haline getiren ve kurban tabanlarını artırmak için sosyal mühendislik taktiklerinden yararlanan aldatıcı YouTube videoları aracılığıyla tanıtılıyor.
Infographic, kurulumları gözden geçirmek, izinleri kontrol etmek, sahipleri doğrulamak, yazılımları güncellemek ve antivirüs kullanmak da dahil olmak üzere kötü niyetli krom uzantıları tanımlamak için beş temel adımı özetlemek
Kötü niyetli uzantıları tanımladı
Unit42 araştırmacıları, şu anda dolaşımda sekiz spesifik AI temalı kötü amaçlı krom uzantıyı katalogladı:
- Claude Search (akfnjopjnemejchppfpomnejoin).
- Ai chatgpt (boofekcjiojcpcehaldjhjfhcienopme) – daha önce bildirildi.
- Chrome için chatgpt (bpeheoocinjpbchkmdjdaiafjkgdgoi).
- Şaşkınlık araması (ecimciBolpbgimkeHmclafnifblhmkkb).
- Chrome için AI (jhhjbaicgddbaobeobkikgmfffaeg).
- Genaisearch (jijilhfkldabicahgmggglammggnkpb).
- Chatgpt arama (lnjebiohklcfainmilcdoakkbjlkdpn).
- Meta Llama Arama (pjcfmnfappcoomegbhlaahhddnhnapeb).
Kullanıcılar tarayıcı uzantılarını, özellikle de AI işlevselliği sağladığını iddia edenler yüklerken dikkatli olabilirler.
Her zaman uzantıları resmi Chrome web mağazası listeleri aracılığıyla doğrulayın ve kurulumdan önce geliştirici güvenilirliğini kontrol edin.
Kuruluşlar, yetkisiz uzantı kurulumlarını kısıtlayan ve mevcut uzantıları olası tehditler için düzenli olarak denetleyen kapsamlı tarayıcı güvenlik politikaları uygulamalıdır. Ayrıca, güncellenmiş antivirüs yazılımı ve tarayıcı güvenlik ayarlarının korunması, bu tür kötü niyetli etkinliklerin algılanmasına ve önlenmesine yardımcı olabilir.
AI temalı kötü niyetli uzantıların ortaya çıkması, siber suçlu taktiklerde önemli bir evrimi temsil eder ve kullanıcıların veri hırsızlığı ve gizlilik ihlallerini kolaylaştırma hevesinden yararlanır.
Yapay zeka araçları popülerlik kazanmaya devam ettikçe, kullanıcılar dijital güvenliği tehlikeye atmak için güvenilir marka isimlerinden yararlanan bu sofistike taklit saldırılarına karşı uyanık kalmalıdır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.