Siber Güvenlikte Yeni Tehdit: Silent Swap Kampanyası
Son dönemde yapılan analizler, kullanıcıların farkında olmadan kripto para cüzdanı adreslerini değiştirmek üzere tasarlanmış bir tarayıcı uzantısı kampanyasını ortaya çıkardı. “Silent Swap” adı verilen bu tehdit, özellikle kripto para kullanıcıları için önemli bir finansal kayıp riski taşımaktadır.
Saldırı Nasıl Çalışıyor?
Silent Swap, CVE kodları ve çeşitli teknik terimlerle belirlenen bir siber saldırı kampanyasıdır. McAfee Labs’a göre, saldırılar unsafe installers (imzasız kurulum dosyaları) aracılığıyla gerçekleştirilmekte ve bu kurulumlar, “Google Notes” isimli zararsız bir uygulama gibi görünüp aslında zararlı bir Chromium uzantısı yüklemektedir.
– İmzasız .NET kurucusu olan BaseZipInstaller, sistemdeki Chromium tabanlı tarayıcıları tarayıp bir ZIP arşivini çekerek kötü amaçlı uzantıyı kurar.
– Tarayıcıda tespit edilen her profil için tarayıcı süreci zorla sonlandırılır ve uzantı, Secure Preferences ve Preferences dosyalarını değiştirerek yüklenir.
– Uzantı, panoya kopyalanmış cüzdan adreslerini yakalamak ve değiştirerek saldırganın kontrolündeki bir cüzdana yönlendirmek amacıyla kullanıcıdan pano, tüm URL’ler ve tarayıcı geçmişine erişim izni ister.
Bu saldırı türü, blok zincirindeki işlemlerin geri alınamaz olması nedeniyle kalıcı maddi kayıplara yol açabilir.
Etkilenen Sistemler
Silent Swap kampanyası, Google Chrome, Microsoft Edge, Brave ve Vivaldi gibi Chromium tabanlı tarayıcılara yönelik yapılmıştır. Bu tarayıcılar, kullanıcıların güvenlik doğrulama verilerini saklarken siber suçluların girmesine olanak tanıyan bazı sistem ayarlarını değiştirilmiştir.
– Uzantının yüklenmesini sağlamak için tarayıcının geliştirici modu etkinleştirilir.
– Kötü amaçlı yazılım, dosyaları değiştirirken güvenlik değerlerini yeniden hesaplar ve güncelleyerek tarayıcıyı yanılttığı için bu uzantı yasal olarak yüklenmiş gibi görünür.
McAfee, saldırının, kullanıcıda düşük görünürlük sağlama ve tespit edilmeyi önleme üzerine odaklandığını belirtiyor. Bu sistem nedeniyle uzantı, tarayıcı tekrar açıldığında yüklenmeye devam eder.
Çözüm ve Korunma
Kullanıcıların bu tür saldırılara karşı korunmak amacıyla aşağıdaki adımları izlemeleri önerilmektedir:
- Tüm tarayıcı uzantılarını düzenli olarak kontrol edin ve tanımadığınız uzantıları kaldırın.
- Kripto para cüzdanı adreslerinizi manuel olarak doğrulayın ve panoya yapıştırmadan önce kontrol edin.
- Güvenlik güncellemelerini ve yamanızı düzenli aralıklarla uygulayın.
- Tarayıcı güvenlik ayarlarınızı gözden geçirin ve yalnızca güvenilir kaynaklardan uzantı yükleyin.
McAfee’nin verilerine göre, bu kampanya Hindistan, ABD, Brezilya, Endonezya ve İspanya gibi birçok ülkede kurbanlarını hedef almıştır. Kullanıcıların dikkatli olması ve güvenlik önlemlerini güçlendirmesi hayati önem taşımaktadır.
Ekstra Tehditler: Kötü Amaçlı VPN Uzantıları
Ek olarak, Socket tarafından bildirilen bir başka tehdit, “VPN Go: Free VPN” adı altında yayımlanan zararlı Chrome ve Firefox uzantılarıdır. Bu uzantılar, kullanıcıların panolarından veri çalıp, farklı IP adreslerine iletebiliyor.
– Her iki uzantı, kullanıcıların önemli bilgilerini çalmanın yanı sıra, proxy fonksiyonu da sunmaktadır.
Kullanıcıların, bu tür uzantıları kaldırarak ve hangi bilgilerin tehlikeye girdiğini göz önüne alarak dikkatli davranmaları önerilmektedir.
Sonuç olarak, Silent Swap gibi siber saldırılar, dijital varlıklarınızın güvenliği açısından ciddi bir tehdit oluşturmaktadır. Siber güvenliği ciddiye alarak proaktif önlemler almak, olası kayıpları en aza indirmek açısından kritik öneme sahiptir.
