Siber güvenlik araştırmacılarına göre iki Chrome eklentisi, geliştirici değişikliğinin ardından kötü amaçlı davranışlar sergilemeye başladı. İlk olarak BuildMelon takma adlı geliştiriciye ait olan bu eklentiler daha sonra farklı hesaplara devredildi. Sahiplik değişiminin ardından yayınlanan güncellemeler, eklentilere zararlı kodlar eklenmesine yol açtı.
Etkilenen eklentiler şunlar:
- QuickLens – Search by Google Lens Screen (yaklaşık 7.000 kullanıcı)
- ShotBird – Scrollable Screenshots, Tweet Images & Editor (yaklaşık 800 kullanıcı)
QuickLens daha sonra Chrome Web Mağazası’ndan kaldırıldı, ancak ShotBird uzun süre indirilebilir durumda kaldı.
Zararlı güncelleme güvenlik mekanizmalarını devre dışı bıraktı
QuickLens eklentisine eklenen kötü amaçlı güncelleme, web sayfalarındaki güvenlik başlıklarını kaldırabiliyordu. Bu sayede saldırganlar, içerik güvenlik politikalarını aşarak sayfalara zararlı komut dosyaları enjekte edebildi. Eklenti ayrıca kullanıcının konumunu, tarayıcı bilgilerini ve işletim sistemini tespit edebiliyor ve belirli aralıklarla uzaktaki bir sunucudan JavaScript kodu indiriyordu.
Bu kod doğrudan eklentinin içinde yer almıyordu. Bunun yerine saldırganların kontrol ettiği bir sunucudan çekiliyor ve tarayıcıda çalıştırılıyordu. Bu yöntem statik güvenlik analizlerini zorlaştırdığı için saldırının tespit edilmesini güçleştiriyor.
Sahte Chrome güncellemesi ile kötü amaçlı yazılım dağıtımı
ShotBird eklentisi farklı bir yöntem kullandı. Zararlı JavaScript kodu, kullanıcıya sahte bir Chrome güncelleme uyarısı gösteriyordu. Kullanıcı uyarıya tıkladığında, ClickFix benzeri bir sayfaya yönlendiriliyor ve burada PowerShell komutları çalıştırılarak googleupdate.exe adlı zararlı bir dosya indiriliyordu.
Bu dosya kurbanın bilgisayarında çalıştırıldığında çeşitli bilgileri ele geçirebiliyordu. Toplanan veriler arasında kullanıcı adı ve şifreler, PIN kodları, kredi kartı bilgileri, erişim token’ları ve resmi kimlik bilgileri bulunabiliyordu. Ayrıca tarayıcı geçmişi ve Chrome’da kayıtlı şifreler de hedef alınıyordu.
Aynı saldırı altyapısı kullanılmış olabilir
Araştırmacılar iki eklentinin de benzer bir komuta kontrol altyapısını kullandığını tespit etti. Bu durum aynı tehdit aktörünün her iki eklentiyi de kontrol ediyor olabileceğini gösteriyor. Ayrıca saldırı yönteminde ortak noktalar bulunuyor: sahiplik devri, zararlı güncelleme ve tarayıcı üzerinden veri toplama.
Tarayıcı eklentileri yeni bir saldırı alanı haline geldi
Uzmanlar bu olayın tarayıcı eklentileriyle ilgili tedarik zinciri güvenliği sorununa dikkat çektiğini belirtiyor. Bir eklenti başlangıçta güvenli ve popüler olabilir. Ancak geliştirici değiştiğinde veya eklenti satıldığında yeni sahibi tüm kullanıcılar için zararlı bir güncelleme yayınlayabilir.
Microsoft ve diğer güvenlik araştırmacıları da son dönemde benzer saldırıların arttığını belirtiyor. Bazı kötü amaçlı eklentiler yapay zeka araçları veya üretkenlik uygulamaları gibi görünerek kullanıcıların tarama verilerini ve sohbet geçmişlerini topluyor.
Kullanıcılara öneriler
Uzmanlar kullanıcıların tarayıcılarında yüklü eklentileri düzenli olarak kontrol etmelerini öneriyor. Tanınmayan geliştiricilere ait eklentiler kaldırılmalı ve gereksiz uzantılar kullanılmamalı. Ayrıca özellikle üretkenlik veya yapay zeka araçları olarak sunulan eklentilerin güvenilir olup olmadığı mutlaka araştırılmalı. Bu tür önlemler tarayıcı tabanlı veri hırsızlığı riskini azaltabilir.
Henüz hiç yorum yapılmamış. İlk yorumu sen yap!
