Yeni Kötü Amaçlı Yazılım, Sahte Chrome ve Edge Uzantılarıyla 300.000 Kullanıcıya Ulaştı


10 Ağu 2024Ravie LakshmananTarayıcı Güvenliği / Çevrimiçi Dolandırıcılık

Kötü amaçlı yazılım

Yaygın bir kötü amaçlı yazılım kampanyasının, popüler yazılım gibi görünen sahte web siteleri üzerinden dağıtılan bir trojan aracılığıyla sahte Google Chrome ve Microsoft Edge uzantıları yüklediği gözlemlendi.

ReasonLabs araştırma ekibi, bir analizde, “Truva atı kötü amaçlı yazılımı, aramaları ele geçiren basit reklam yazılımı uzantılarından, özel verileri çalmak ve çeşitli komutları yürütmek için yerel uzantılar sunan daha karmaşık kötü amaçlı komut dosyalarına kadar çeşitli çıktılar içeriyor” dedi.

“2021 yılından beri varlığını sürdüren bu trojan zararlı yazılımı, çevrimiçi oyunlara ve videolara eklentiler içeren indirme sitelerinin taklitlerinden kaynaklanıyor.”

Siber Güvenlik

Kötü amaçlı yazılım ve uzantıların toplam erişimi en az 300.000 Google Chrome ve Microsoft Edge kullanıcısına ulaşmış durumda; bu da etkinliğin geniş bir etki alanına sahip olduğunu gösteriyor.

Kampanyanın merkezinde, Roblox FPS Unlocker, YouTube, VLC medya oynatıcısı, Steam veya KeePass gibi bilinen yazılımları tanıtan benzer web sitelerini kötü amaçlı reklamlarla kandırmak ve bu programları arayan kullanıcıları tarayıcı uzantılarını yüklemek için bir kanal görevi gören bir trojan indirmeye kandırmak yer alıyor.

Dijital olarak imzalanmış kötü amaçlı yükleyiciler, uzak bir sunucudan getirilen bir sonraki aşama yükünü indirmek ve yürütmekten sorumlu bir PowerShell betiğini yürütmek üzere yapılandırılmış zamanlanmış bir görevi kaydeder.

Kötü amaçlı yazılım

Buna, Google ve Microsoft Bing’deki arama sorgularını ele geçirip saldırganların kontrolündeki sunucular üzerinden yönlendirebilen Chrome Web Mağazası ve Microsoft Edge Eklentileri’nden gelen uzantıların yüklenmesini zorlamak için Windows Kayıt Defteri’ni değiştirmek de dahildir.

ReasonLabs, “Geliştirici Modu ‘AÇIK’ olsa bile, uzantı kullanıcı tarafından devre dışı bırakılamaz,” dedi. “Komut dosyasının daha yeni sürümleri tarayıcı güncellemelerini kaldırır.”

Ayrıca, doğrudan bir komuta ve kontrol (C2) sunucusundan indirilen yerel bir uzantıyı başlatır ve tüm web isteklerini yakalayıp sunucuya göndermek, komutları ve şifrelenmiş komut dosyalarını almak ve tüm sayfalara komut dosyaları enjekte etmek ve yüklemek için kapsamlı yeteneklerle birlikte gelir.

Siber Güvenlik

Üstelik Ask.com, Bing ve Google’dan gelen arama sorgularını ele geçirip kendi sunucuları üzerinden diğer arama motorlarına yönlendiriyor.

Bu, benzer kampanyaların vahşi doğada gözlemlendiği ilk sefer değil. Aralık 2023’te siber güvenlik şirketi, torrentler aracılığıyla iletilen ve VPN uygulamaları gibi görünen ancak aslında “geri ödeme etkinliği saldırısı” çalıştırmak üzere tasarlanmış kötü amaçlı web uzantıları yükleyen başka bir Truva atı yükleyicisini ayrıntılı olarak açıkladı.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin Twitter ve daha özel içeriklerimizi okumak için LinkedIn’i ziyaret edin.





Source link