Bir siber güvenlik firması olan Layerx, şu anda dünya çapında yaklaşık 1,5 milyon cihaza yüklenen “Uyuyan Ajanlar” olarak adlandırılan karmaşık bir kötü amaçlı tarayıcı uzantısı ağını ortaya çıkardı.
Meşru tarayıcı içi ses yönetimi araçları olarak görünen bu uzantılar, tek bir geliştirici veya grup tarafından koordineli bir çabayı gösteren paylaşılan bir kod tabanı ve altyapısı üzerine inşa edilmiştir.
İyi huylu görünümlerine ve faydalı ses özelliklerine rağmen, bu uzantılar gizli yetenekleri barındırır.
.png
)
Uzaktan komutları yürütebilir, arka plan sekmelerini açabilir, bilinen kötü amaçlı alanlarla iletişim kurabilir ve etkinliklerini geleneksel güvenlik araçlarından gizlemek için şifreleme ve base64 kod gizlemesini kullanabilirler.
Bu gizli altyapı, saldırganların herhangi bir zamanda kötü niyetli davranışları etkinleştirmesine izin vererek, şüphesiz kullanıcıların tarayıcılarını gelecekteki siber saldırılar için potansiyel fırlatma rampalarına dönüştürüyor.
Paylaşılan kötü amaçlı kod tabanı ve uzaktan komut yürütme
Kodu derin bir dalış, daha önce çıkarılmış kötü niyetli uzantılar, en önemlisi okuma (uzantı kimliği: phjbepamfhjggmbhmfflhlhllhldchb) ile çarpıcı benzerlikleri ortaya çıkarır.
Bu altyapının çekirdeği ExtStatTracker Sessizce kullanıcı etkinliğini izleyen ve uzaktan komut yürütmeyi mümkün kılan sınıf.
Bu sınıf, kullanıcı verilerini kodlar ve Readrbee.com gibi harici sunuculara gönderir ve kullanıcı izni olmadan yeni sekmelerde keyfi URL’leri açabilir.
Aşağıda basitleştirilmiş bir alıntı var ExtStatTracker temel işlevselliğini vurgulayan sınıf:
javascriptclass ExtStatTracker {
constructor() {
this.installUrl = "https://readrbee.com/install/";
this.uninstallUrl = "https://readrbee.com/uninstall/";
this.uid = "";
this.version = chrome.runtime.getManifest().version;
this.initStorage();
this.initListeners();
}
processQueue() {
// Sends encoded user data and executes remote commands
// Opens arbitrary URLs via chrome.tabs.create()
}
setUninstallUrl() {
// Sets uninstall URL with encoded user data
}
initListeners() {
// Listens for install/update events and queues actions
}
initStorage() {
// Retrieves and stores persistent user identifiers
}
}
const extStatTracker = new ExtStatTracker;
Bu altyapı, genellikle tespiti kaçırmak için gizlenmiş ve şifreli trafik kullanılarak, harici komut ve kontrol (C2) sunucuları ile sessiz izleme, dinamik davranış enjeksiyonu ve kalıcı iletişimi sağlar.
Gizli mülkiyet ve yaygın etki
Layerx, bu kampanyada yer alan en az dört uzantıyı belirledi, hepsi ses yönetimine odaklandı ve birleşik bir kullanıcı tabanı 1,2 milyonu aştı.
Bu uzantılar hala Chrome Web Store’da mevcuttur ve yayıncıları farklı isimler, anonim webmail adresleri kullanır ve kamuoyuna dönük web sitelerinden yoksundur, bu da atıfı neredeyse imkansız hale getirir.
Şüpheli kötü niyetli uzantılar
| Uzatma adı | Uzatma kimliği | Kullanıcılar |
|---|---|---|
| Ses Bulucu | pmilcmjbofinpnbnpanpdadijibcgifc | 200.000 |
| Cilt Max – Ultimate Sound Booster | mgbhdehiapbjamfgekfpebmnmcMemg | 1.000.000 |
| Cilt Master: Sesinizi ustalaşın | eoejmjkdfbhhhnbmklhccnppogieeah | 3.000 |
| Volume Booster: Ultimate Sound Artırıcı | dlcgileladmbfijjmnleehhoebpggpjl | 2.000 |
Bu uzantıların birçoğu zaten Virustotal gibi platformlarda güvenlik satıcıları tarafından kötü niyetli olarak işaretlendi, ancak kullanıcılar tarafından erişilebilir kalıyorlar.
Uzantılar, FrancJohn gibi alanlarla iletişim kurar[.]com ve jermikro[.]com, bazıları kötü amaçlı yazılım etkinliği geçmişleri vardır.
Tarayıcı tabanlı botnetlerin yeni bir dönemi
Bu “uyuyan” uzatma ağının keşfi, siber suçlu taktiklerde bir kaymaya işaret ediyor.
Saldırganlar, tehlikeye atılan IoT cihazlarından geleneksel botnet oluşturmak yerine, çerezler, şifreler ve tarama etkinliği de dahil olmak üzere hassas kullanıcı verilerine kalıcı, gizli erişim elde etmek için tarayıcı uzantılarından yararlanıyor.
Altyapı, kötü amaçlı yeteneklerin uzaktan aktive edilmesini veya devre dışı bırakılmasını sağlar, bu da tarayıcı uzantılarının sürekli izlenmesini ve incelenmesini her zamankinden daha önemli hale getirir.
Güvenlik uzmanları, kullanıcıları ve kuruluşları uyanık kalmaya, düzenli olarak kurulu uzantıları denetlemeye ve tehdit manzarası karmaşık ve ölçekte gelişmeye devam ettikçe, görünüşte zararsız araçları bile dikkatle ele almaya çağırıyor.
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun