Olarak bilinen bir tehdit aktörü GölgeliPanda zaman içinde 4,3 milyondan fazla yükleme toplayan yedi yıllık bir tarayıcı uzantısı kampanyasıyla bağlantılıdır.
Koi Security’nin 300.000 yükleme çeken bir raporuna göre, bu uzantılardan beşi, 2024 ortalarında kötü amaçlı değişiklikler yapılmadan önce meşru programlar olarak başladı. Bu uzantılar o zamandan beri kaldırıldı.
Güvenlik araştırmacısı Tuval Admoni, The Hacker News ile paylaşılan bir raporda, “Bu uzantılar artık saatlik uzaktan kod yürütme gerçekleştiriyor; tam tarayıcı erişimiyle rastgele JavaScript indiriyor ve çalıştırıyor.” dedi. “Her web sitesi ziyaretini izliyorlar, şifrelenmiş tarama geçmişini sızdırıyorlar ve tarayıcı parmak izlerinin tamamını topluyorlar.”
Daha da kötüsü, uzantılardan biri olan Clean Master, bir noktada Google tarafından öne çıkarıldı ve doğrulandı. Bu güven oluşturma çalışması, saldırganların kullanıcı tabanlarını genişletmelerine ve yıllar sonra herhangi bir şüphe çekmeden sessizce kötü amaçlı güncellemeler yayınlamalarına olanak tanıdı.
Bu arada, aynı yayıncının beş eklentiden oluşan başka bir seti, kullanıcıların ziyaret ettiği her URL’yi takip etmek, arama motoru sorgularını ve fare tıklamalarını kaydetmek ve bilgileri Çin’de bulunan sunuculara iletmek üzere tasarlandı. Bu uzantılar yaklaşık dört milyon kez yüklendi ve WeTab tek başına üç milyon yüklemeye karşılık geldi.
Kötü amaçlı etkinliğin ilk işaretlerinin, 2023 yılında sırasıyla “nuggetsno15” ve “rocket Zhang” adlı geliştiriciler tarafından Chrome Web Mağazası’nda 20 ve Microsoft Edge’de 125 uzantının yayınlanmasıyla gözlemlendiği söyleniyor. Tanımlanan tüm uzantılar, duvar kağıdı veya üretkenlik uygulamaları olarak gizlendi.
Bu uzantıların, kullanıcılar eBay, Booking.com veya Amazon’u ziyaret ettiğinde kullanıcıların satın alma işlemlerinden yasa dışı komisyonlar elde etmek amacıyla gizlice izleme kodları enjekte ederek bağlı kuruluş dolandırıcılığına karıştığı ortaya çıktı. 2024’ün başlarında saldırı, görünüşte zararsız enjeksiyonlardan, arama sorgusu yeniden yönlendirme, arama sorgusu toplama ve belirli alanlardan çerezlerin sızması yoluyla aktif tarayıcı kontrolüne geçti.
Koi, “Her web araması, bilinen bir tarayıcı korsanı olan trovi.com üzerinden yönlendiriliyordu” dedi. “Arama sorguları günlüğe kaydedildi, para kazandırıldı ve satıldı. Arama sonuçları kâr amacıyla manipüle edildi.”
2024 yılının ortalarında bir noktada, üçü yıllardır yasal olarak çalışan beş uzantı, “api.extensionplay” etki alanını kontrol ederek arka kapı benzeri işlevsellik getiren kötü amaçlı bir güncelleme dağıtacak şekilde değiştirildi.[.]Bir JavaScript yükünü almak ve yürütmek için saatte bir “.com” komutunu kullanın.
Yük, her web sitesi ziyaretini izlemek ve verileri şifrelenmiş biçimde bir ShadyPanda sunucusuna (“api.cleanmasters) göndermek için tasarlanmıştır.[.]Store”), ayrıntılı bir tarayıcı parmak iziyle birlikte. İşlevselliği gizlemek için kapsamlı gizleme kullanmanın yanı sıra, tarayıcının geliştirici araçlarına erişmeye yönelik herhangi bir girişim, tarayıcının zararsız davranışa geçmesine neden olur.
Ayrıca uzantılar, kimlik bilgileri hırsızlığını, oturumun ele geçirilmesini ve herhangi bir web sitesine rastgele kod enjeksiyonunu kolaylaştırmak için ortadaki rakip (AitM) saldırılarını gerçekleştirebilir.
Etkinlik, 2023 civarında Microsoft Edge Addons merkezinde yayınlanan WeTab dahil diğer beş uzantının, ziyaret edilen her URL’yi, arama sorgularını, fare tıklamalarını, çerezleri ve tarayıcı parmak izlerini toplamak da dahil olmak üzere kapsamlı gözetimi etkinleştirmek için devasa kurulum tabanından yararlanmasıyla son aşamaya geçti.
Ayrıca, bir kurbanın bir web sayfasıyla nasıl etkileşime girdiği hakkında, sayfayı görüntülemek için harcanan süre ve kaydırma davranışı gibi bilgileri toplama yetenekleriyle de donatılmış olarak gelirler. WeTab uzantısı yazının yazıldığı an itibarıyla hâlâ indirilebilir durumdadır.
Bulgular, tarayıcı uzantılarını giderek meşru bir araçtan veri toplayan casus yazılımlara dönüştüren, dört ayrı aşamadan oluşan sürekli bir kampanyanın resmini çiziyor. Ancak saldırganların, meşruiyet yanılsaması yaratmak için indirmeleri yapay olarak şişirip şişirmediklerinin net olmadığını belirtmekte fayda var.
Uzantıları yükleyen kullanıcıların, bunları hemen kaldırmaları ve çok dikkatli bir şekilde kimlik bilgilerini değiştirmeleri önerilir.
Koi, “Kullanıcıları güvende tutmak için tasarlanan otomatik güncelleme mekanizması saldırı vektörü haline geldi” dedi. “Chrome ve Edge’in güvenilir güncelleme hattı, kötü amaçlı yazılımları kullanıcılara sessizce dağıttı. Kimlik avı yok. Sosyal mühendislik yok. Yalnızca üretkenlik araçlarını gözetim platformlarına dönüştüren sessiz sürüm artışlarına sahip güvenilir uzantılar.”
“ShadyPanda’nın başarısı yalnızca teknik gelişmişlikle ilgili değil. Aynı güvenlik açığından yedi yıl boyunca sistematik olarak yararlanmakla da ilgili: Pazaryerleri, uzantıları başvuru sırasında inceliyor. Onaylandıktan sonra ne olacağını izlemiyorlar.”