350 varyantlı kötü amaçlı bir tarayıcı uzantısı, Google Chrome, Opera ve Mozilla Firefox tarayıcılarının Rus kullanıcılarını hedefleyen bir reklam yazılımı kampanyasının parçası olarak bir Google Çeviri eklentisi gibi görünüyor.
Mobil güvenlik firması Zimperium, kötü amaçlı yazılım ailesini adlandırdı ABC çorbası“Uzantılar, resmi uzantı mağazalarında bulunan güvenlik kontrolleriyle birlikte çoğu uç nokta güvenlik çözümünü atlayarak Windows tabanlı bir yürütülebilir dosya aracılığıyla kurbanın makinesine yüklenir.”
Hileli tarayıcı eklentileri, Google Çeviri ile aynı uzantı kimliğiyle gelir — “aapbdbdomjkkjkaonfhkkikfgjllcleb” — kullanıcıları meşru bir uzantı yüklediklerine inandırmak amacıyla.
Uzantılar, resmi tarayıcı web mağazalarının kendilerinde mevcut değildir. Bunun yerine, eklentiyi kurbanın web tarayıcısına yükleyen farklı Windows yürütülebilir dosyaları aracılığıyla teslim edilirler.
Hedeflenen kullanıcının Google Translate uzantısını zaten yüklemiş olması durumunda, daha yüksek sürüm numaraları (30.2.5’e karşı 2.0.10) nedeniyle orijinal sürümü kötü amaçlı sürümle değiştirir.
Zimperium araştırmacısı Nipun Gupta, “Ayrıca, bu uzantı yüklendiğinde, Web Mağazası yalnızca uzantı kimliklerini kontrol ettiğinden Chrome Web Mağazası bunun kötü amaçlı uzantı değil Google Translate olduğunu varsayar.” söz konusu.
Uzantının gözlemlenen tüm varyantları, pop-up’lar sunmaya, hedefe özel reklamlar sunmak için kişisel bilgileri toplamaya, parmak izi aramalarına ve tuş vuruşlarını yakalamak ve web tarayıcı etkinliğini izlemek için casus yazılım görevi görebilecek kötü amaçlı JavaScript’i enjekte etmeye yöneliktir.
ABCsoup’un ana işlevi, tarayıcıda açılan mevcut web siteleri arasında Odnoklassniki ve VK gibi Rus sosyal ağ servislerini kontrol etmeyi ve eğer öyleyse, kullanıcıların adlarını ve soyadlarını, doğum tarihlerini ve cinsiyetlerini toplayarak verileri iletmeyi içerir. uzak bir sunucu.
Kötü amaçlı yazılım bu bilgileri yalnızca kişiselleştirilmiş reklamlar sunmak için kullanmakla kalmaz, aynı zamanda uzantı, açılan web sitelerine göre özel JavaScript kodu ekleme yetenekleriyle birlikte gelir. Bu, YouTube, Facebook, ASKfm, Mail.ru, Yandex, Rambler, Avito, Brainly’s Znanija, Kismia ve rollApp’ı içerir ve yoğun bir Rusya odağını önerir.
Zimperium, kampanyayı Doğu Avrupa ve Rus kökenli “iyi organize edilmiş bir gruba” bağladı ve uzantılar, öne çıkan çok çeşitli yerel alan adları göz önüne alındığında Rus kullanıcıları ayırmak için tasarlandı.
Gupta, “Bu kötü amaçlı yazılım, her türlü kullanıcıyı hedeflemek için bilerek tasarlanmıştır ve kullanıcı bilgilerini alma amacına hizmet eder.” Dedi. “Enjekte edilen komut dosyaları, tarayıcı oturumuna tuş vuruşu eşleme ve veri hırsızlığı gibi daha kötü niyetli davranışlar sunmak için kolayca kullanılabilir.”