Yakın zamanda Guardio Labs’deki güvenlik araştırmacıları tarafından yeni bir kötü amaçlı reklam kampanyasının serbest kaldığı keşfedildi. Bu kötü niyetli kampanya aşağıdaki hedeflere ulaşmayı amaçlamaktadır:
- Arama korsanlığı Chrome uzantılarını zorlayın.
- Bağlı kuruluş komisyonları kazanmak için bağlı kuruluş bağlantılarını web sayfalarına yerleştirin.
Siber güvenlik araştırmacıları bu kötü amaçlı reklam kampanyasına “Dormant Colors” adını verdi. Ekim 2022’nin ikinci yarısında, popüler web tarayıcılarının web mağazalarında güvenlik uzmanları tarafından toplam 30 türde kötü amaçlı uzantı tespit edildi:-
Bu kötü amaçlı tarayıcı uzantılarıyla ilgili şaşırtıcı olan şey, hepsinin dünya çapında 1 milyondan fazla aktif yüklemeyi başarmış olmasıdır.
Bu kampanyanın operatörleri, tüm zararlı uzantıları, herhangi bir zararlı kod içermediği ve kullanıcıları kazançlı hale getirmek için birden fazla renk özelleştirme seçeneği sunduğu için kolayca tespit edilmeyecek şekilde tasarladı.
Uyuyan Renkler Enfeksiyonu
Bir kurban, video veya indirilebilir içerik sunan bir web sitesini ziyaret ettiğinde, kurban, ilk enfeksiyon zincirine yol açan reklamlar ve kötü niyetli yönlendirmelerle bombardımana tutulacaktır.
İşte aşağıdaki videoda eylemde görebilirsiniz: –
Unutulmamalıdır ki, bu uzantılar yüklendikten sonra, kurbanları birden çok tehlikeli web sayfasına yönlendirerek kötü amaçlı komut dosyalarını yandan yüklerler.
Bu kötü amaçlı komut dosyalarının birincil amacı, uzantının arama kaçırma gerçekleştirmesini ve bağlı kuruluş bağlantıları eklemesini sağlamaktır.
Bu kötü amaçlı uzantılar, uzantıların geliştiricileriyle ilişkili web sitelerinden arama sonuçlarını almak için arama sorgularını yeniden yönlendirebilir.
Bunu yaparak, reklam gösterimleri ve arama verilerinin satışı, bu kötü amaçlı uzantıların tehdit aktörleri veya operatörleri için büyük bir gelir sağlayacaktır.
Bunun da ötesinde, Dormant Colors, kapsamlı 10.000 web sitesi listesinden kurbanın tarama verilerini de çalar. Tehdit aktörlerinin yaptığı şey, kurbanı otomatik olarak URL’nin bir parçası olarak reklamı yapılan bağlı kuruluş bağlantılarını içeren bir sayfaya yönlendirmektir.
Affiliate etiketleri URL’ye eklendikten sonra sitede yapılan her satıştan komisyon oluşturacak olan kötü niyetli uzantıların operatörleridir.
Güçlü C&C
Dormant Colors’ın operatörlerinin, aynı gizli kötü niyetli teknikleri kullanarak üyelikleri ele geçirmekten çok daha zararlı şeyler başarması mümkündür.
Sadece bu değil, tehdit aktörleri de kurbanları, aşağıdaki hizmetlerin kimlik bilgilerini çalan kötü amaçlı komut dosyalarıyla sahte web sitelerine yönlendirme becerisine sahip olur:-
- Microsoft 365
- Google Çalışma Alanı
- Bankacılık
- Sosyal medya hesapları
Buna rağmen, bu kampanyaların hiçbirinin kötü niyetli faaliyetlerde bulunduğuna dair bir gösterge olmadığı için herhangi bir kötü niyetli faaliyet gerçekleştirmiyor gibi görünüyor.
Sıfır Güven Ağı ile Siber Saldırı – Ücretsiz E-Kitap İndirin