Tarayıcıdan Veri Çalan 1 Milyon Kurulumlu Chrome Uzantısı
Guardio Labs'daki güvenlik araştırmacıları tarafından bir kötü niyetli kampanyanın olduğu keşfedildi. Bu kötü amaçlı kampanyanın amacı aşağıdaki hedeflere ulaşmaktır:
- Chrome uzantılarını hackleyen push arama (search).
- Bağlı kuruluş komisyonları kazanmak için web sayfalarına bağlı kuruluş bağlantıları koyma.
Siber güvenlik araştırmacıları bu kötü amaçlı kampanyaya "Dormant Colors" adını verdiler. Ekim 2022'nin ikinci yarısında güvenlik uzmanları tarafından popüler web tarayıcılarının web mağazalarında toplam 30 kötü amaçlı uzantı çeşidi tespit edilmiştir:
- Chrome
- Edge
Bu kötü amaçlı tarayıcı uzantılarıyla ilgili şaşırtıcı olan şey, hepsinin dünya çapında 1 milyondan fazla aktif yükleme gerçekleştirmeyi başarmış olmasıdır.
Bu kampanyanın operatörleri, tüm kötü amaçlı uzantıları, herhangi bir kötü amaçlı kod içermediğinden ve kullanıcıları yağlamak için birden fazla renk özelleştirme seçeneği sunduğundan, algılamadan kolayca kaçınacak şekilde tasarladı.
Dormant Colors Enfeksiyonu
Bir kurban, video veya indirilebilir içerik sunan bir web sitesini ziyaret ettiğinde, kurban, ilk enfeksiyon zincirine yol açan reklamlar ve kötü niyetli yönlendirmelerle bombardımana tutulacaktır.
Bu uzantıların yüklenmesi üzerine, kurbanları birden fazla tehlikeli web sayfasına yönlendirerek kötü amaçlı komut dosyalarını yan yükledikleri belirtilmelidir.
Bu kötü amaçlı komut dosyalarının birincil amacı, uzantının arama ele geçirme işlemini gerçekleştirmesini ve bağlı kuruluş bağlantıları eklemesini sağlamaktır.
Bu kötü amaçlı uzantılar, uzantıların geliştiricileriyle ilişkili web sitelerinden arama sonuçlarını almak için arama sorgularını yeniden yönlendirebilir.
Bunu yaparak, reklam gösterimleri ve arama verilerinin satışı, tehdit aktörleri veya bu kötü amaçlı uzantıların operatörleri için büyük bir gelir elde edecektir.
Bunun da ötesinde, Dormant Colors ayrıca kurbanın tarama verilerini 10.000 web sitesinin kapsamlı bir listesinden çalıyor. Tehdit aktörlerinin yaptığı şey, kurbanı otomatik olarak URL'nin bir parçası olarak reklamı yapılan bağlı kuruluş bağlantılarını içeren bir sayfaya yönlendirmektir.
Bağlı kuruluş etiketleri URL'ye eklendikten sonra sitede yapılan her satıştan komisyon oluşturacak olan kötü amaçlı uzantıların operatörleridir.
Powerful C&C
Dormant Colors'un operatörlerinin, aynı gizli kötü niyetli teknikleri kullanarak bağlantıları ele geçirmekten çok daha zararlı şeyler elde etmesi mümkündür.
Sadece bu değil, aynı zamanda tehdit aktörleri, kurbanları aşağıdaki hizmetlerin kimlik bilgilerini çalan kötü amaçlı komut dosyalarıyla sahte web sitelerine yönlendirme yeteneğine de sahiptir:
- Microsoft 365
- Google Workspace
- Bankacılık
- Sosyal medya hesapları
Buna rağmen, bu kampanyaların hiçbiri kötü niyetli faaliyetlerde bulunmuyor gibi görünüyor, çünkü olduklarına dair bir işaret yok.
Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.
Kaynak: Cyber Security News