.webp?w=696&resize=696,0&ssl=1 "Silahlı krom uzantısı")
Sofistike bir kötü amaçlı yazılım kampanyası, hepsi Google’ın doğrulanmış rozeti taşıyan ve Chrome Web Store’a yerleştirilen on bir meşru tarayıcı uzantısı ile 1,7 milyondan fazla Chrome kullanıcısına bulaştı.
KOI Security’de siber güvenlik araştırmacıları tarafından keşfedilen “kötü niyetli11” kampanyası, kullanıcıların güvenli uzantıları tanımlamak için güvendiği güven sinyallerinden faydalanarak şimdiye kadar belgelenen en büyük tarayıcı kaçırma işlemlerinden birini temsil ediyor.
Mükemmel Truva at operasyonu
Kötü niyetli uzantılar, emoji klavyeleri, hava tahminleri, video hızı denetleyicileri, anlaşmazlık ve tiktok için VPN vekilleri, karanlık temalar, hacim güçlendiriciler ve youtube unblockers gibi farklı kategoriler arasında popüler üretkenlik ve eğlence araçları olarak görüldü.
Bu kampanyayı özellikle sapkın yapan şey, her bir uzantının eşzamanlı olarak sofistike gözetim ve kaçırma yeteneklerini uygularken tam olarak vaat ettiği şeyi sunmasıydı.
Soruşturma, araştırmacıların 100.000’den fazla kurulum ve 800’den fazla incelemeye sahip bir uzatma olan “Renk Seçici, GEDROPPER – GECO Colorpick” analiz ettiklerinde başladı.
Tamamen meşru görünmeye ve doğrulanmış durumu korumasına rağmen, uzantı kullanıcıların tarayıcılarını gizlice kaçırıyor, her web sitesi ziyaretini izliyor ve kalıcı bir komut ve kontrol arka kapısını koruyordu.
Belki de en önemlisi, kötü amaçlı yazılımların nasıl konuşlandırıldığıdır. Bunlar ilk günden itibaren kötü niyetli uzantılar değildi – sürüm güncellemeleri yoluyla kötü niyetli hale gelmeden önce yıllarca meşru olarak faaliyet gösterdiler.
Her uzantının kod tabanı, kötü amaçlı yazılımlar, 1,7 milyondan fazla kullanıcı için sessizce yüklenen otomatik güncellemelerle uygulanmadan önce, bazen yıllarca temiz kaldı.
Araştırmacılar, “Google’ın tarayıcı uzantısı güncellemelerini nasıl ele aldığından dolayı, bu sürümler sessizce otomatik olarak kuruldu” dedi. “Kimlik avı yok. Sosyal mühendislik yok. Sakin bir versiyon yumruğuna sahip sadece güvenilir uzantılar.”
Sofistike tarayıcı kaçırma
Kötü amaçlı yazılım, kullanıcılar yeni bir sayfaya her gittiğinde etkinleştirilen sofistike bir tarayıcı kaçırma mekanizması uygular.
Her uzantının arka plan hizmeti çalışanı, tüm sekme etkinliğini izleyen, URL’leri yakalayan ve benzersiz izleme tanımlayıcılarıyla birlikte uzak sunuculara gönderen koddur.
Bu, her an sömürülebilen büyük bir kalıcı midesi insanı yaratır.
Örneğin, Zoom toplantı davetiyelerini tıklayan kullanıcılar, “kritik güncellemeler” indirmeleri gerektiğini iddia eden sahte sayfalara yönlendirilebilir veya bankacılık oturumları ele geçirilebilir ve saldırganların sunucularında barındırılan piksel mükemmel kopyalara yönlendirilebilir.
Kötü niyetli11 kampanyası, pazar güvenliğinde sistemik başarısızlıkları ortaya çıkarır. Google’ın doğrulama süreci, on bir farklı uzatma boyunca sofistike kötü amaçlı yazılımları tespit edemedi, bunun yerine doğrulama rozetleri ve yer alan yerleşim yoluyla birkaç tane tanıttı.
Saldırganlar, kullanıcıların doğru bir şekilde dayanarak, doğrulama rozetlerine, yükleme sayımları, yerleşim, yıllar süren meşru operasyon ve olumlu incelemelerden başarılı bir şekilde yararlandılar.
Kullanıcılar, depolanan izleme tanımlayıcılarını kaldırmak için etkilenen uzantıları hemen kaldırmalı, tarayıcı verilerini temizlemeli, tam sistem kötü amaçlı yazılım taramalarını çalıştırmalı ve şüpheli etkinlik hesaplarını izlemelidir.
Olay, tehdit aktörleri aktivasyondan önce yıllarca uykuda kalabilecek kapsamlı bir altyapı yaratmak için bireysel saldırıların ötesinde geliştikçe, gelişmiş pazar güvenlik mekanizmalarına acil ihtiyaç olduğunu vurgulamaktadır.
Bu kampanya, mevcut pazar güvenlik modelinin temelde nasıl kırıldığını gösteren tarayıcı uzatma güvenliğinde bir dönüm anını temsil ediyor.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt