Kötü amaçlı Chrome eklentileri, kişisel bilgileri tehlikeye atabileceği, istenmeyen reklamları yerleştirebileceği ve hatta web trafiğini yönlendirebileceği için kullanıcılar için önemli riskler oluşturur.
Uzun süreler boyunca tespit edilemeyen birçok kötü amaçlı uzantı bulunmaktadır ve bu durum esas olarak Chrome Web Mağazası’nın yetersiz denetiminden kaynaklanmaktadır.
eSentire’nin Tehdit Yanıt Birimi (TRU) araştırmacıları yakın zamanda silahlandırılmış ZIP arşivleri sunan kötü amaçlı bir Chrome eklentisi tespit etti.
Kötü Amaçlı Chrome Uzantısı
eSentire’nin Tehdit Yanıt Birimi, Ağustos 2024’te karmaşık bir kötü amaçlı yazılım saldırısı keşfetti ve bu kötü amaçlı yazılım saldırısı, bir LummaC2 hırsızı ve kötü amaçlı bir Google Chrome uzantısı olmak üzere iki kötü amaçlı öğeyi içeriyordu.
Saldırı, “x64x32installer___.zip” adlı kötü amaçlı bir ZIP dosyasının indirilmesiyle başladı ve bu kötü amaçlı ZIP dosyası bir MSI dosyası içeriyordu.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Bir parola elde etmek için bu dosya “get-license2” adresindeki bir sunucuyla iletişim kurar.[.]com” olarak adlandırılan bir dosyaya erişiliyor ve ardından elde edilen parola, tehdit aktörleri tarafından “rnp.dll” adı verilen kötü amaçlı DLL’i çıkarmak için kullanılıyor.
Şimdi bu noktada kötü amaçlı DLL’i yüklemek için tehdit aktörleri, OpenPGP şifreleme araçlarının bir parçası olan meşru bir program olan “rnpkeys.exe”yi kullanarak DLL yan yüklemesini kullandılar.
Bu süreç, LummaC2 hırsızının ve bir PowerShell komutunun dağıtımına yol açtı. Bu iki unsur, “two-root”tan ek yükün alınmasına ve şifresinin çözülmesine yardımcı olur[.]com.”
eSentire, son aşamada Facebook, Coinbase ve Google Pay gibi platformlardaki kripto para hesaplarıyla etkileşime girebilen “Google Drive’a Kaydet” adlı kötü amaçlı bir Chrome uzantısının yüklenmesinin yer aldığını ekledi.
Bu uzantının hesap bakiyelerini değiştirme, potansiyel olarak işlemleri yürütme ve kapsamlı sistem ve tarayıcı bilgilerini toplama yetenekleri vardı, bunlar arasında şunlar vardı:
- Donanım detayları
- Yüklü uzantılar
- Çerezler
- Benzersiz bir cihaz tanımlayıcısı
Toplanan tüm veriler daha sonra komuta ve kontrol (C2) sunucusuna iletildi.
“getInjections” fonksiyonu kullanılarak kötü amaçlı oluşturulmuş ve Native tarayıcı işlevlerini değiştiren bir tarayıcı eklentisi tespit edildi.
Payments.google, permission.youtube.com, accounts.google.com ve adsmanager.facebook.com gibi bazı URL’leri takip etmek için kullanıcının görüş alanından oldukça gizli açılır pencereler açar.
Bu eklenti, chrome.storage.local’dan gelen yapılandırmanın web sayfalarına enjekte edildiği ve içeriği değiştirdiği Outlook, Gmail ve Yahoo Mail gibi e-posta sağlayıcılarıyla iyi çalışır.
Mail içeriğini değiştirebildiği için bu yeteneğinden dolayı iki faktörlü kimlik doğrulama kodlarını da ele geçirebilir.
Entegrasyon, saldırganın kurban olarak sörf yapmasını sağlayacak şekilde tehlikeye atılmış tarayıcıları HTTP proxy’lerine dönüştüren bir implant olarak da kabul edilen CursedChrome ile yapılıyor.
Bunun dışında “makeScreenShot” fonksiyonu yardımıyla sekme ekran görüntülerini de C2 sunucusuna gönderiyor.
C2 adresleri kodlanır ve daha sonra belirli bir bitcoin adresi olan “bc1qvkvzfla6wrem2uf4ejkuja8yp3c6f3xf72kyc9” ile ilişkili olarak mempool ve blok zincirlerinin URL’lerinden Base58 olarak kullanılır.
Bu saldırı zinciri, LummaC2 hırsızını ve kötü amaçlı uzantıyı dağıtmak için DLL tarafı yüklemesini kullanan yükleyici aracılığıyla yürütülür.
Bunun üzerine 7/24 görev yapan bir SOC ekibi enfekte olmuş bilgisayarı izole etti ve iyileştirme çalışmalarına yardımcı oldu.
Öneriler
Aşağıda tüm önerilerimizi belirttik:
- EDR çözümleriyle cihazlarınızı güvenceye alın.
- Kimlik avı konusunda farkındalık eğitimi verin.
- Ortaya çıkan tehditler konusunda eğitim verin.
- Komut dosyalarının Not Defteri’nde açılmasını ayarlayın.
- Otomatik komut dosyasının yürütülmesini önle.
IoC’ler
C2’ler:
http://run-df[.]com/gAySB.php?cnv_id=false&value=1
http://hit-1488.com/test_gate0117[.]php?a=XyLGVaXA1cIfBjj&id=0
get-license2[.]com
publicitttyps[.]shop
true-lie[.]com
true-bottom[.]com
two-root[.]com
Güvenlik Ekibiniz için Ücretsiz Olay Müdahale Planı Şablonunu İndirin – Ücretsiz İndir