Siber güvenlik firması Kaspersky’nin yeni bulguları, 1,31 milyondan fazla kullanıcının en az bir kez kötü amaçlı veya istenmeyen web tarayıcı uzantıları yüklemeye çalıştığını gösteriyor.
Şirket, “Ocak 2020’den Haziran 2022’ye kadar, tarayıcı uzantılarında saklanan reklam yazılımları tarafından 4,3 milyondan fazla benzersiz kullanıcı saldırıya uğradı ve bu, tüm kullanıcıların yaklaşık %70’i kötü amaçlı ve istenmeyen eklentilerden etkileniyor” dedi. söz konusu.
Kaspersky’nin telemetri verilerine göre, 2022’nin ilk yarısında 1.311.557 kadar kullanıcı bu kategoriye giriyor. Buna karşılık, bu tür kullanıcıların sayısı 2020’de 3.660.236 ile zirveye ulaştı ve bunu 2021’de 1.823.263 benzersiz kullanıcı izledi.
En yaygın tehdit, PDF görüntüleyiciler ve diğer yardımcı programlar gibi görünen ve arama sorgularını toplama ve analiz etme ve kullanıcıları bağlı kuruluş bağlantılarına yönlendirme yetenekleriyle birlikte gelen WebSearch adlı bir reklam yazılımı ailesidir.
WebSearch ayrıca, bir arama motoru ve AliExpress gibi üçüncü taraf kaynaklara, kurban tarafından tıklandığında, uzantı geliştiricilerinin bağlı kuruluş bağlantıları aracılığıyla para kazanmasına yardımcı olan bir dizi bağlantı içeren tarayıcının başlangıç sayfasını değiştirmesiyle de dikkat çekicidir.
“Ayrıca, uzantı, tarayıcının varsayılan arama motorunu search.myway olarak değiştirir.[.]Kullanıcı sorgularını yakalayan, toplayan ve analiz edebilen com’dur” diyen Kaspersky, “Kullanıcının ne aradığına bağlı olarak, alakalı ortak sitelerin çoğu arama sonuçlarında aktif olarak tanıtılacaktır.”
İkinci bir uzantı grubu, kötü amaçlı işlevselliğini video indiriciler kisvesi altında gizleyen AddScript adlı bir tehdidi içerir. Eklentiler reklamı yapılan özellikleri sunarken, aynı zamanda bir parça keyfi JavaScript kodunu almak ve yürütmek için uzak bir sunucuyla iletişim kurmak üzere tasarlanmıştır.
WebSearch ve AddScript’in 876.924 ve 156.698 benzersiz kullanıcıyı hedeflediği, yalnızca ilk 2022’de bir milyondan fazla kullanıcının reklam yazılımıyla karşılaştığı söyleniyor.
Ayrıca, Facebook oturum açma kimlik bilgilerini ve oturum açmış kullanıcıların oturum çerezlerini çalmayı amaçlayan FB Stealer gibi bilgi çalan kötü amaçlı yazılım örnekleri de bulundu. FB Stealer, 2022 yılının ilk yarısında 3.077 benzersiz enfeksiyon girişiminden sorumlu olmuştur.
FB Stealer, SolarWinds Broadband Engineers Edition gibi yazılımlar için resmi olmayan crackli yükleyiciler aracılığıyla yayılan NullMixer adlı bir truva atı aracılığıyla teslim edildi.
Araştırmacılar, “FB Stealer, kullanıcı tarafından değil, kötü amaçlı yazılım tarafından yükleniyor” dedi. “Tarayıcıya eklendikten sonra, zararsız ve standart görünümlü Chrome uzantısı Google Translate’i taklit ediyor.”
Bu saldırılar aynı zamanda finansal olarak da motive edilmektedir. Kötü amaçlı yazılım operatörleri, kimlik doğrulama çerezlerini ele geçirdikten sonra, hedefin Facebook hesabına giriş yapar ve şifreyi değiştirerek kurbanı etkin bir şekilde kilitleyerek hesabı ele geçirir. Saldırganlar daha sonra kurbanın arkadaşlarından para istemek için erişimi kötüye kullanabilir.
Bulgular, Zimperiumm’un Google Chrome, Opera ve Mozilla Firefox tarayıcılarının Rus kullanıcılarını hedefleyen bir reklam yazılımı kampanyasının parçası olarak bir Google Translate uzantısı gibi görünen ABCsoup adlı bir kötü amaçlı yazılım ailesini ifşa etmesinden bir aydan biraz daha uzun bir süre sonra geldi.
Web tarayıcısını enfeksiyonlardan uzak tutmak için, kullanıcıların yazılım indirmek için güvenilir kaynaklara bağlı kalmaları, uzantı izinlerini gözden geçirmeleri ve “artık kullanmadığınız veya tanımadığınız” eklentileri düzenli aralıklarla gözden geçirip kaldırmaları önerilir.