Palo Alto, Singapur, 6 Mart 2025, Cybernewswire
Tarayıcı senkronizasyonu ve genişletme infosterers gibi son saldırı açıklamalarıyla, tarayıcı uzantıları birçok kuruluşta birincil güvenlik kaygısı haline gelmiştir. Squarex’in araştırma ekibi, kurbanın tarayıcısına yüklenen herhangi bir uzantıyı parola yöneticileri ve kripto cüzdanları da dahil olmak üzere taklit edebilecek yeni bir kötü amaçlı uzantılar sınıfı keşfediyor. Bu kötü niyetli uzantılar, meşru uzantı ile aynı kullanıcı arayüzüne, simgelere ve metne sahip olmak için kendilerini değiştirebilir ve bu da mağdurların kimlik bilgilerine ve diğer hassas bilgilerini girmeleri için son derece ikna edici bir durum haline getirebilir. Bu saldırı, Chrome ve Edge dahil olmak üzere çoğu büyük tarayıcıyı etkiler.
Polimorfik uzantılar, çoğu kullanıcının tarayıcı araç çubuğuna sabitlenmiş uzantılarla etkileşime girdiği gerçeğinden yararlanarak çalışır. Saldırı, kullanıcının, örneğin mütevazi bir AI aracı olarak kendini gizleyen kötü niyetli uzantıyı kurmasıyla başlar. Saldırıyı daha da ikna edici hale getirmek için, uzantı AI işlevselliğini reklamı yapıldığı gibi gerçekleştirir ve önceden belirlenmiş bir süre için iyi huylu kalır.
Bununla birlikte, tüm bunlar gerçekleşirken, kötü niyetli uzatma, kurbanın tarayıcısına başka hangi uzantıların kurulduğunu bulmaya başlar. Belirlendikten sonra, polimorfik uzantı, sabitlenmiş araç çubuğunda gösterilen simge de dahil olmak üzere, hedefe benzeyecek şekilde kendi görünümünü tamamen değiştirir. Hedef uzantıyı geçici olarak devre dışı bırakarak sabitlenmiş çubuktan çıkarabilir. Çoğu kullanıcının bu simgeleri hangi uzantı ile etkileşime girdiğini bildirmek için görsel bir onay olarak kullandığı göz önüne alındığında, simgenin kendisini değiştirmek, ortalama kullanıcıyı meşru uzantıya tıkladıklarına ikna etmek için yeterlidir. Mağdur uzantı gösterge tablosuna gidecek olsa bile, orada görüntülenen araçları sabitlenmiş simgelerle ilişkilendirmenin belirgin bir yolu yoktur. Şüpheyi önlemek için, kötü niyetli uzantı, hedef uzantıyı, sabitlenmiş sekmede hedefin simgesi olan tek kişi olacak şekilde geçici olarak devre dışı bırakabilir.
Kritik olarak, polimorfik uzantı herhangi bir tarayıcı uzantısını taklit edebilir. Örneğin, popüler şifre yöneticilerini kurbanları ana şifrelerine girmeye kandırmak için taklit edebilir. Bu şifre daha sonra saldırgan tarafından gerçek şifre yöneticisine giriş yapmak ve şifre kasasında depolanan tüm kimlik bilgilerine erişmek için kullanılabilir. Benzer şekilde, polimorfik uzantı, popüler kripto cüzdanlarını taklit edebilir ve bu da çalınan kimlik bilgilerini saldırgana kripto para gönderme işlemlerini yetkilendirmek için kullanmalarını sağlar. Diğer potansiyel hedefler, saldırgana hassas verilerin veya finansal varlıkların depolandığı uygulamalara yetkisiz erişim sağlayabilecek geliştirici araçları ve bankacılık uzantılarıdır.
Ayrıca, saldırı sadece Chrome Store’un sınıflandırmasına dayanan orta riskli izinler gerektirir. İronik bir şekilde, bu izinlerin birçoğu parola yöneticileri ve reklam engelleyicileri ve sayfa stilleri gibi diğer popüler araçlar tarafından kullanılır, bu da Chrome Store ve Güvenlik ekiplerinin sadece uzantının koduna bakarak kötü niyetli niyeti tanımlamasını zorlaştırır.
Squarex’in kurucusu Vivek Ramachandran, “Tarayıcı uzantıları bugün işletmeler ve kullanıcılar için büyük bir risk sunuyor. Ne yazık ki, çoğu kuruluşun mevcut uzantı ayak izlerini denetlemenin ve kötü niyetli olup olmadıklarını kontrol etmenin hiçbir yolu yoktur. Bu, bir EDR’nin işletim sistemine ne olduğuna benzer şekilde tarayıcı algılama ve yanıtı gibi bir tarayıcı yerel güvenlik çözümüne olan ihtiyacın altını çiziyor. ”
Bu polimorfik uzantılar, saldırıyı gerçekleştirmek için Chrome içindeki mevcut özellikleri kullanır. Bu nedenle, hiçbir yazılım hatası yoktur ve yamalanamaz. Squarex, herhangi bir uzatma simgesi değişiklikleri veya HTML’deki ani değişiklikler için kullanıcı uyarılarının yasaklanmasını veya uygulanmasını önererek sorumlu açıklama için Chrome’a yazmıştır, çünkü bu teknikler bir polimorfik ataktaki diğer uzantıları taklit etmek için saldırganlar tarafından kolayca kaldırılabilir. İşletmeler için, statik uzatma analizi ve izin tabanlı politikalar artık yeterli değildir-kötü niyetli uzantıların polimorfik eğilimleri de dahil olmak üzere çalışma zamanında uzatma davranışını dinamik olarak analiz edebilen bir tarayıcı-yerli güvenlik aracına sahip olmak önemlidir.
Polimorfik uzantılar hakkında daha fazla bilgi için, bu araştırmadan ek bulgular https://sqrx.com/polymorphic-extensions adresinde bulabilirsiniz.
Squarex Hakkında
Squarex, kuruluşların kötü niyetli uzantılara karşı savunma da dahil olmak üzere, kullanıcılarına karşı gerçek zamanlı olarak gerçekleşen müşteri tarafı web saldırılarını tespit etmesine, azaltmasına ve tehdit avlamasına yardımcı olur. Polimorfik ataklara ek olarak, Squarex, tarayıcı senkronizasyonu, Cyberhaven’in ihlaline yol açan Chrome Store onayı kimlik avı saldırısı ve Def Con 32’de ortaya çıkan çok sayıda MV3 uyumlu kötü niyetli uzantıyı içeren birden fazla uzatma tabanlı saldırıyı keşfeden ve açıklayan ilk kişi oldu.
Squarex’in sektörde ilk tarayıcı algılama ve yanıt (BDR) çözümü, tarayıcı güvenliğine saldırı odaklı bir yaklaşım benimseyerek, kurumsal kullanıcıların kötü niyetli QR kodları, tarayıcı-the-the-the-the-the-the Phishing, makro tabanlı kötü amaçlı yazılım ve diğer web saldırıları gibi gelişmiş tehditlere karşı kötü niyetli dosyalar, web siteleri, senaryolar ve sıkıntılı ağlar ve sıkıntılı ağlar.
Buna ek olarak, Squarex ile işletmeler, yüklenicilere ve uzak çalışanlara dahili uygulamalara güvenli erişim sağlayabilir, işletme SaaS’a ve BYOD / yönetilmeyen cihazlardaki tarayıcıların güvenilir tarama oturumlarına dönüştürülebilir.
Temas etmek
PR Başkanı
Haziran Liew
Kare
junice@sqrx.com
Reklam
LinkedIn grubumuz “Bilgi Güvenliği Topluluğu” nda 500.000’den fazla siber güvenlik uzmanına katılın!