Google Chrome’daki kötü amaçlı uzantılar, hassas bilgileri çalmak amacıyla bilgisayar korsanları tarafından uzaktan kullanılıyor.
Kül Bleeping Computer tarafından bildirildi‘Cloud9’ adlı yeni bir Chrome tarayıcı botnet’i, aynı zamanda, reklamları ve kötü amaçlı kodları dağıtmanın yanı sıra tuş vuruşlarını günlüğe kaydetme yeteneğine de sahiptir.
Tarayıcı botnet, hem Chrome hem de Microsoft Edge’i içeren Chromium web tarayıcısı için uzaktan erişim truva atı (RAT) olarak çalışır. Bu nedenle, erişilebilen yalnızca oturum açma kimlik bilgileri değildir; bilgisayar korsanları ayrıca dağıtılmış hizmet reddi (DDoS) saldırıları da başlatabilir.
Söz konusu Chrome uzantısına Google’ın resmi Chrome web mağazası üzerinden doğal olarak erişilemiyor, bu nedenle mağdurların nasıl hedef alındığını merak ediyor olabilirsiniz. Bunun yerine sahte Adobe Flash Player güncelleme bildirimleri yoluyla virüs bulaştırmak için var olan web siteleri kullanılıyor.
Zimperium’daki güvenlik araştırmacıları, Cloud9 enfeksiyon oranlarının dünyanın birçok bölgesinde tespit edildiğini doğruladı.
Cloud9’un temeli, tarayıcı açıklarını başlatmak için komut dosyaları enjekte etmenin yanı sıra, hedef sistem hakkında bilgi alabilen ve aynı bilgisayarda kripto para madenciliği yapabilen üç merkezi JavaScript dosyasıdır.
Zimperium, Firefox’ta CVE-2019-11708 ve CVE-2019-9810, Internet Explorer için CVE-2014-6332 ve CVE-2016-0189 ve Microsoft Edge için CVE-2016-7200 dahil olmak üzere birden fazla güvenlik açığından yararlanılıyor.
Güvenlik açıkları yaygın olarak Windows kötü amaçlı yazılım yüklemek için kullanılsa da, Cloud9 uzantısı bir tarayıcıdan tanımlama bilgileri çalabilir ve bilgisayar korsanlarının geçerli kullanıcı oturumlarını devralmasına olanak tanır.
Ayrıca, kötü amaçlı yazılım bir keylogger ile birlikte gelir – esas olarak tüm tuşa basışlarınızı saldırganlara gönderebilen bir yazılım. Uzantıda, PC’nin kopyalanan şifrelere veya kredi kartlarına erişmesini sağlayan bir “kesme” modülü de keşfedildi.
Zimperium, “TCP bağlantısı meşru isteklere çok benzediğinden, 7. Katman saldırılarını tespit etmek genellikle çok zordur” dedi. “Geliştirici muhtemelen bu botnet’i DDOS gerçekleştirmek için bir hizmet sağlamak için kullanıyor.”
Cloud9’un arkasındaki tehdit aktörlerinin daha da fazla yasa dışı gelir elde etmelerinin bir başka yolu da reklamları enjekte etmek ve ardından bu web sayfalarını reklam gösterimleri elde etmek için arka planda yüklemektir.
Cloud9’un siber suç forumlarında görülmesiyle birlikte operatörler kötü niyetli uzantılarını ilgili taraflara satıyor olabilir. Bunu göz önünde bulundurarak, tarayıcınıza resmi olmayan bir kaynaktan herhangi bir şey yükleyip yüklemediğinizi her zaman iki kez kontrol edin ve mümkünse iki faktörlü kimlik doğrulamayı etkinleştirin.