Giriş
Microsoft, Edge Eklenti Mağazası’nda yer alan ve zararlı içeriklerini sıradan görüntü ve yazı tipi dosyalarının içine gizleyen bir kötü niyetli uzantı operasyonunu sonlandırdı. Bu operasyonun, kullanıcıların kimlik bilgilerini çalmak ve reklam dolandırıcılığı yapmak amacıyla 2021 yılından beri devam ettiği tespit edildi.
Saldırı Nasıl Çalışıyor?
Bu kampanya, steganografi adı verilen bir teknik kullanarak, yürütülebilir kodları normal görünen dosyaların içerisine gizlemeyi başardı. İlk sürümler, bir PNG simgesinin IEND işaretçisinden sonra JavaScript ekleyerek, dosyanın her yerde normal görünmesini sağladı. Sonraki aşamalarda, kötü niyetli aktör WebP görüntüleri ve WOFF2 yazı tipleri gibi dosyalara geçti; burada kodları Asya metni veya yazı tipi meta verileri arasında gizledi.
Etkili sürümler, yüklenme sırasında yerel bir payload göndermeyip, komut ve kontrol sunucusundan normal görünen bir resmi çekti. Uzantı, bu resmi çeşitli şifreleme katmanları ile çözdükten sonra çalıştırmadan önce bir imzaya karşı kontrol etti. Komut sunucusu, yalnızca geçerli taleplere gerçek dosyayı gönderiyordu.
Etkilenen Sistemler
Bu operasyon kapsamında, toplamda 119 uzantı yer almakta olup, bu uzantıların toplam kurulum sayısı 2.6 milyon kadar kullanıcıya ulaşmıştır. Microsoft, bunun bir üst sınır olduğunu ve kesin bir kurban sayısı olmadığını vurguladı.
Kötü niyetli uzantılar, kullanıcıların tereddüt etmeden yüklediği reklam engelleyiciler, VPN’ler, çeviriciler gibi yaygın araçlardı ve her biri kendi işlevini yerine getirirken olumlu değerlendirmeler aldı. Kötü niyetli kod, uzantı çeşitli kaçınma kontrollerini geçene kadar pasif kaldı.
Çözüm ve Korunma
Microsoft, tüm 119 uzantıyı kaldırdığını ve bunların arkasındaki 90’dan fazla geliştirici hesabını askıya aldığını bildirdi. Uzantı kimliklerinin tam listesi, şirketin teknik raporunda mevcuttur.
Okuyucular, edge://extensions adresini ziyaret ederek yüklü uzantılarını bu liste ile karşılaştırmalıdır. Eğer eşleşme varsa veya Edge bir uzantıyı otomatik olarak kaldırmışsa, tarayıcı tehlikede demektir. Bu durumda, Google, WordPress, bankacılık ve diğer hassas hesaplar için şifrelerinizi değiştirin.
Ayrıca, son oturum açma etkinliğini gözden geçirin ve güçlü çift faktörlü kimlik doğrulamayı etkinleştirin. Donanım güvenlik anahtarları, SMS kodlarına kıyasla bu tür kimlik bilgisi çalmalarına karşı daha sağlam bir koruma sunmaktadır. Microsoft, Chrome, Firefox ve diğer Chromium tabanlı tarayıcılar için kullanılabilecek tespit işaretleri de yayımlamıştır.
Sonuç olarak, StegoAd yeni bir kampanya olmaktan ziyade, bilinen bir operasyona yeni bir yüz eklemektedir. Kimlik bilgileri, mitarchive.info adresine sızdırılmaktadır ki bu alan adı, Koi Security tarafından DarkSpectre ile ilişkilendirilmiştir. Microsoft, şu anda kötü niyetli aktörün hala aktif olduğu bilgisi vermektedir.
