Netflix izleyicileri ve diğerleri gibi görünen Google Chrome web tarayıcısı için beş taklitçi uzantısının, kullanıcıların göz atma etkinliğini ve perakende satış ortağı programlarının kârını takip ettiği bulundu.
McAfee araştırmacıları Oliver Devane ve Vallabh Chole, “Uzantılar, kullanıcıların Netflix şovlarını birlikte izlemelerini, web sitesi kuponlarını ve bir web sitesinin ekran görüntülerini almalarını sağlamak gibi çeşitli işlevler sunuyor.” söz konusu. “Sonuncusu, GoFullPage adlı başka bir popüler uzantıdan birkaç kelime öbeği alıyor.”
Chrome Web Mağazası üzerinden erişilebilen ve 1,4 milyon kez indirilen söz konusu tarayıcı eklentileri aşağıdaki gibidir:
- Netflix Partisi (mmnbenehknklpbendgmgngeaignppnbe) – 800.000 indirme
- Netflix Partisi (flijfnhifgdcbhglkneplegafminjnhn) – 300.000 indirme
- FlipShope – Fiyat Takip Uzantısı (adikhbfjdbjkhelbdnffogkobkekkkej) – 80.000 indirme
- Tam Sayfa Ekran Görüntüsü Yakalama – Ekran Görüntüsü Alma (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200.000 indirme
- AutoBuy Flash Satışları (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20.000 indirme
Uzantılar, ziyaret edilen web sitelerinde sekmeleri tutmaktan ve e-ticaret portallarına kötü amaçlı kod enjekte etmekten sorumlu bir JavaScript parçası yüklemek için tasarlanmıştır ve saldırganların kurbanlar tarafından yapılan satın almalar için bağlı kuruluş programları aracılığıyla para kazanmasını sağlar.
Araştırmacılar, “Ziyaret edilen her web sitesi, uzantı oluşturucunun sahip olduğu sunuculara gönderiliyor” dedi. “Bunu, ziyaret edilen e-ticaret web sitelerine kod ekleyebilmek için yapıyorlar. Bu eylem, sitedeki çerezleri değiştirir, böylece uzantı yazarları satın alınan herhangi bir öğe için bağlı kuruluş ödemesi alır.”
Ayrıca, kırmızı bayrakların yükselmesini önlemek için, uzantının yüklenmesinden itibaren kötü amaçlı etkinliği 15 gün geciktiren bir teknik de dahil edilmiştir.
Bulgular, keşfin ardından 13 Chrome tarayıcı uzantısı Mart 2022’de ABD, Avrupa ve Hindistan’daki kullanıcıları kimlik avı sitelerine yönlendirirken ve hassas bilgileri sızdırırken yakalandılar.
Yazıldığı gibi, dört uzantıdan üçü hala web mağazasında mevcut ve Netflix Partisi (mmnbenehknklpbendgmgngeaignppnbe) temizlenecek tek eklenti. Yüklü uzantıların kullanıcılarının, daha fazla riski azaltmak için bunları Chrome tarayıcılarından manuel olarak kaldırmaları önerilir.