Meta reklam kampanyaları için bir üretkenlik aracı olarak maskelenerek dijital pazarlamacıları hedefleyen yeni bir kötü niyetli krom uzantısı ortaya çıktı.
“Madgicx Plus” olarak adlandırılan bu uzantı, meşru AI güdümlü reklam platformları olarak poz veren aldatıcı web siteleri ağı aracılığıyla dağıtılır.
Reklam performansını optimize etmek yerine, uzantı, kullanıcı oturumlarını ele geçirmek için güçlü tarayıcı izinlerinden yararlanır ve Facebook ve Instagram için giriş jetonlarını ekspiltrat eder.
Kampanyanın operatörleri, sosyal mühendislik cazibelerini mevcut dijital pazarlama eğilimlerine uyarlayan gelişen bir tehdit göstererek önceki kötü niyetli uzantılardan altyapıyı yeniden kullandı.
Uzantının dağıtım kanalları, gerçek analitik ve optimizasyon hizmetlerini taklit eden Privacy-Shield.world.world.world ve Madgicxads.world gibi profesyonel olarak hazırlanmış alanları dağıtıyor.
Ziyaretçiler, yalnızca tam ana bilgisayar erişim ve ağ isteği müdahale yetenekleri vermek için kampanya yatırım getirisini artırma iddiası altında uzantıyı kurmaya teşvik edilir.
Cyberseason analistleri, yüklendikten sonra uzantının, ziyaret edilen her sayfaya içerik komut dosyalarını enjekte ettiğini ve form girişlerinin ve oturum çerezlerinin gerçek zamanlı hasat edilmesini sağladığını belirtti.
Bu erişim seviyesi, saldırganların içerik güvenlik politikalarını atlamasına ve doğrudan Meta’nın dahili API’leriyle etkileşime girmesine olanak tanır.
Etki değerlendirmeleri, tehlikeye atılan kimlik bilgilerinin reklam bütçelerinin yetkisiz değişikliklerine, yeni kampanyaların oluşturulmasına ve iş hesaplarının tam olarak ele geçirilmesine yol açabileceğini ortaya koymaktadır.
Genellikle özel güvenlik ekiplerinden yoksun olan küçük ve orta ölçekli işletmeler, reklam yönetimini üçüncü taraf araçlara rutin olarak devreddikleri için özellikle yüksek risk altındadır.
Uzatmanın, HTTP Origin başlıklarını giden isteklerden çıkarma kolaylığı, kesintisiz tarayıcı saldırıları için kapasitesini daha da gösteriyor.
Mağdurlar, meta işletme yöneticisi gösterge tablolarındaki açıklanamayan faturalandırma ücretlerini veya eksik kampanyaları gözlemleyene kadar farkında olmayabilirler.
.webp)
Meşru bir aracın kisvesi altında, uzantının manifest.
Bu özellik, çalınan jetonları bir komut ve kontrol sunucusuna ileten arka plan komut dosyalarıyla birleştiğinde, sofistike bir veri hırsızlığı çerçevesinin temelini oluşturur.
Cloudflare vekillerinin arkasındaki gerçek IP adresleri, Favicon karma analizi ve Shodan sorguları ile tanımlandı ve daha önce kötü niyetli kaynaklara ev sahipliği yapan bir ISS olan Vdsina’nın sahip olduğu altyapıya yol açtı.
Enfeksiyon mekanizması
Kurulum üzerine, uzantının tezahürü, tarayıcı navigasyon olaylarını izleyen bir arka plan komut dosyasının otomatik enjeksiyonunu tetikler.
.webp)
Aşağıdaki snippet, uzantının kimlik doğrulama jetonlarını yakalamak için nasıl başvurular oluşturduğunu göstermektedir:-
// manifest.json excerpt
{
"host_permissions": [""],
"permissions": ["declarativeNetRequest","declarativeNetRequestWithHostAccess"],
"content_scripts": [
{
"matches": ["*://*/*"],
"js": ["background.iife.js"]
}
]
} Saldırının çekirdeği, Facebook’un OAuth uç noktalarına XHR istekleri için dinleyiciler oluşturan arka plan.iife.js’de bulunuyor.
Kullanıcı oturum açtığında, komut dosyası JSON yanıtından “Access_token” i çıkarır ve Madgicx-plus.com adresindeki kötü amaçlı C2 alanına aktarmadan önce yerel depolamada saklar.
Origin üstbilgisini bir DeclarativenTRequest kuralı ile çıkararak, uzatma aynı orijin kontrollerinden kaçar ve çalınan jetonları saldırgan kontrollü oturumlara sorunsuz bir şekilde entegre eder:-
// background.iife.js snippet
chrome.webRequest.onBeforeSendHeaders.addListener(details => {
details.requestHeaders = details.requestHeaders.filter(h => h.name !== 'Origin');
return { requestHeaders: details.requestHeaders };
}, {urls: ["*://*.facebook.com/*"]}, ["blocking","requestHeaders"]);Bu mekanizmalar sayesinde saldırganlar, standart tarayıcı uyarılarını tetiklemeden mağdurun meta ortamına kalıcı erişim elde ederler.
Uzantının geniş izinler, CSP baypas teknikleri ve gizli jeton eksfiltrasyonu, sosyal medya reklamlarına karşı tarayıcı tabanlı tehditlerde önemli bir yükselişe işaret ediyor.
Güvenlik ekipleri, uzatma denetimlerine öncelik vermeli, gereksiz izinleri kısıtlamalı ve reklam iş akışlarını bu tür riskleri azaltmak için özel profillere izole etmelidir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.