Chrome Tarayıcısındaki Tehlikeli Uzantılar
Son zamanlarda, Chrome tarayıcı kullanıcıları için ciddi bir tehdit ortaya çıkmıştır. 2024 yılı itibarıyla, bilinmeyen bir saldırgan grubunun, masum gibi görünen çeşitli kötücül Chrome uzantıları yarattığı tespit edilmiştir. Bu uzantılar, bir dizi şaşırtıcı özellik barındırmakta ve kullanıcıların bilgilerini çalma, komut alma ve rastgele kod çalıştırma gibi kötü niyetli işlevler içermektedir.
Tehditin Yüzü: Kötücül Uzantılar
Bu uzantılar, gerçekçi web siteleri oluşturmak suretiyle kullanıcılara légitim görünmektedir. Kullanıcıları, üretkenlik araçları, VPN hizmetleri ve kripto para analiz araçları gibi sahte hizmetleri yüklemeye yönlendirmekte, ardından kötü amaçlı uzantıları Google’ın Chrome Web Store‘undan indirttirmekte. DomainTools Intelligence (DTI) ekibi, bu tehditin detaylarını bir raporla paylaşmıştır; bir çok kullanıcı, bu uzantıların sunduğu özelliklerin yanıltıcı olduğunu fark etmiyor.
Bu uzantıların sağlamış olduğu bazı özellikler, kullanıcıların kimlik bilgilerini, çerezlerini çalma ve oturum kaçırma eylemlerini gerçekleştirmek için kullanılmaktadır. Buna ek olarak, reklam enjektiyuonu, kötü niyetli yönlendirmeler ve DOM manipülasyonu gibi yöntemler de etkin bir şekilde uygulanmaktadır.
Uzantıların İşleyişi
Bu uzantılar, manifest.json dosyası aracılığıyla aşırı izinler talep etmekte ve böylece tarayıcıda ziyaret edilen her sayfa ile etkileşimde bulunabilmektedir. Saldırganın kontrolündeki bir alan adından gelen rastgele kodları çalıştırma, kötü niyetli yönlendirmeler yapma ve hatta reklamları enjekte etme gibi işlevler bu izinler sayesinde gerçekleştirilmektedir.
Kötü niyetli uzantıların, geçici bir belge nesne modeli (DOM) öğesi üzerinde "onreset" olay işleyicisini kullanarak kod çalıştırdığı yönünde bulgular vardır. Bu, Content Security Policy (CSP)‘yi aşmak için yapılmış olabilir. Kullanıcılar, bu uzantılara dair tuzak sitelerin yanı sıra, DeepSeek, Manus, DeBank ve benzeri meşru ürün ve hizmetlere de rastlayabilmektedir.
Mağdurların Yönlendirilmesi
Saldırıların nasıl gerçekleştirildiği belirsizliğini korurken, DomainTools, kullanıcıların sahte sitelere yönlendirilmesinin yaygın yöntemlerden biri olabileceğini belirtmiştir. Phishing (oltalama) ya da sosyal medya üzerinden bu yönlendirmelerin yapılabileceği tahmin edilmektedir. Kullanıcılar, bu uzantıları yüklemek için Chrome Web Store ve çevresindeki web sitelerinin yan yana geldiğini görmektedir.
Çoğu durumda, bu uzantılar kullanıcıların normal web aramalarında veya Chrome Store içindeki aramalarda sonuç olarak görünmektedir. Ayrıca, bazı tuzak web siteleri, Facebook izleme kimlikleri kullanarak ziyaretçi çekmeye çalışmaktadır. Bu durum, Facebook sayfaları, grupları ve hatta reklamları aracılığıyla gerçekleştiriliyor olabilir.
Google’ın Tepkisi ve Kullanıcıların Alması Gereken Önlemler
Google, bu kötü niyetli uzantıları kaldırma girişiminde bulunmuş, ancak gerçekleştirilen kompakt saldırılara dair çok sayıda sahte web sitesi ve uzantı keşfedilmiştir. Kullanıcıların güvenliğini sağlamak adına, indirdikleri uzantıların güvenilir geliştiricilere ait olduğundan emin olmaları, talep edilen izinleri gözden geçirmeleri ve yorumları dikkatlice incelemeleri gerekmektedir.
Ayrıca, benzer görünümdeki uzantılardan kaçınmak da önemli bir önlem olarak öne çıkmaktadır. Ancak, bazı durumlarda derecelendirmelerin manipüle edilerek negatif kullanıcı geri bildirimlerinin filtrelenmesi ve olumlu geri bildirimlerin artırılmasına yönelik yapay bir güçlendirme uygulanabileceği unutulmamalıdır.
Sonuç
Bu tür kötü niyetli uzantıların yol açabileceği zararları en aza indirmek için, kullanıcıların dikkatli olması ve güvenilir kaynaklardan hizmet alması büyük önem taşımaktadır. Herhangi bir uygulama veya uzantı indirilmeden önce iyice araştırma yapılması, kullanıcının güvenliğini koruyacak en önemli adımdır.
