Bir Google Chrome Web Store kampanyası, tarayıcı çerezlerini çalmak ve uzaktan komut dosyalarını gizlice yürütmek için VPN’ler, AI asistanları ve kripto yardımcı programları gibi meşru araçları taklit eden 100’den fazla kötü amaçlı tarayıcı uzantısı kullanır.
Uzantılar, vaat edilen işlevlerin bir kısmını sunar, ancak aynı zamanda kullanıcı bilgilerini çalmak veya yürütülecek komutları almak için tehdit oyuncunun altyapısına da bağlanır. Ayrıca, kötü niyetli krom uzantılar, reklamlar sunmak, yeniden yönlendirme veya proxying için ağ trafiğini değiştirebilir.
Kampanya, Domaintools’taki güvenlik araştırmacıları tarafından, araçları şüphesiz kullanıcılara teşvik eden 100’den fazla sahte alan gören, muhtemelen kötü niyetli olarak keşfedildi.
Domaintools’un 100’den fazla kötü amaçlı web sitesi listesi, birden fazla sahte VPN markası ve Fortinet, YouTube, Deepseek AI ve Calendly gibi meşru markaları taklit etme girişimlerini içerir:
- Earthvpn[.]tepe
- Irontunnel[.]Dünya ve Demir Tüneli[.]com
- Rakun-VPN[.]dünya
- orkide[.]com
- Soul-VPN[.]com
- fort-vpn[.]com ve fortivnp[.]com
- Debank-Extension[.]Dünya ve Debank[.]SBS, Debank[.]tıklamak
- YouTube-Vision[.]Com ve YouTube-Vision[.]dünya
- Deepseek-ai[.]bağlantı
- CalendlyDaily[.]Dünya, Calendlydocker[.]com, Calendly-Direktör[.]com
- balina[.]Org ve Balina-İtiraz[.]hayat
- madgsads[.]Dünya ve Madgicx-Plus[.]com
- benzer ağı[.]com
- iş artı[.]com
- uçuş[.]hayat
Bu web siteleri, Chrome web mağazasındaki kötü amaçlı tarayıcı uzantılarına bağlanan “Chrome’a Ekle” düğmelerini içerir ve böylece meşruiyet duygusunu artırır.
Kaynak: Domaintools
Google, tanımlanan uzantıların çoğunu kaldırmış olsa da, BleepingComputer bazılarının Chrome web mağazasında kaldığını doğruladı.
Araştırmacılar, “Chrome web mağazası, kötü amaçlı yazılım tanımlamasından sonra aktörün kötü niyetli uzantılarının çoğunu kaldırdı.”
“Bununla birlikte, aktörün kalıcılığı ve tespit ve kaldırmada zaman gecikmesi, üretkenlik araçları ve tarayıcı geliştirmeleri arayan kullanıcılar için bir tehdit oluşturuyor.”
Her bir uzantı farklı işlevler gerçekleştirirken, oturum jetonları, DOM tabanlı kimlik avı yapmak ve dinamik komut dosyası enjeksiyonu da dahil olmak üzere çerezleri çalmalarına izin veren riskli izinler talep ederler.
Örneğin, “FortivPN” uzantısı çerezleri çalmak, proxy sunucusu olarak hareket etmek, ağ trafiğini değiştirmek ve bir uzak sunucudan keyfi JavaScript komut dosyalarını çalıştırmak için kullanılır.
“Komuta edildiğinde, tüm tarayıcı çerezlerini almak için chrome.cookies.getall ({}) kullanır, bunları Pako kullanarak sıkıştırır, baz64’te kodlar ve arka uç infografına geri gönderir[.]En iyi sunucu, “raporu okuyor.
“Bir ağ proxy olarak hareket etmek için ayrı bir WebSocket bağlantısı oluşturulması, kullanıcının trafiğini kötü amaçlı sunucular aracılığıyla yönlendirmesi emredilebilir. Proxy hedefi arka uç komutu tarafından sağlanır ve ayrıca proxy kimlik doğrulama işlemeyi uygular.”
Bu uzantıların kurulmasından kaynaklanan risk, hesap kaçırma, kişisel veri hırsızlığı ve tarama etkinliği izlemeyi içerir. Sonuçta, saldırganlara enfekte olmuş tarayıcıda bir arka kapı sağlıyorlar, bu nedenle sömürü potansiyeli geniş.
Tehdit aktörleri, şirketin meşru VPN cihazlarını veya hesaplarını ihlal etmek için çalıntı oturum çerezlerini kurumsal ağlara erişerek daha yıkıcı saldırılara neden olarak kullanabilirler.
Chrome web mağazasından kötü niyetli uzantılar indirme riskini azaltmak için, yalnızca kanıtlanmış bir sicile sahip saygın yayıncılara güvenmek ve kırmızı bayrak aramak için kullanıcı incelemelerini gözden geçirin.
BleepingComputer, bu özel kampanyayla ilgili algılama çabalarını sormak için Google ile iletişime geçti, ancak yayın süresine göre bir yorum almadık.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.