ShadyPanda olarak bilinen uzun süreli bir kötü amaçlı yazılım operasyonu, Chrome ve Edge tarayıcıları için görünüşte meşru olan uzantıların 4.3 milyondan fazla yüklemesini topladı ve bunlar zamanla kötü amaçlı yazılımlara dönüştü.
Koi Güvenlik tarafından keşfedilen bu operasyon, tarayıcı uzantısının başlangıçta meşru bir araç olarak ortaya çıkıp daha sonra casus yazılıma dönüşmesini sağlayan aşamalarda ilerledi.
ShadyPanda Operasyonu Nedir?
ShadyPanda kampanyası, yıllar içinde 145 kötü niyetli uzantıdan oluşmaktadır; bunların 20’si Chrome ve 125’i Edge tarayıcısı içindir. Google, bu uzantıları Web Store’dan kaldırmış olsa da, kampanyanın Microsoft Edge Eklentileri platformunda hala aktif olduğu bildirilmektedir; bu platformda bir uzantının 3 milyon yüke ulaşmış olduğu belirtiliyor.
Bu uzantıların yüklemelerinin, meşruiyetlerini artırmak amacıyla manuel olarak şişirilip şişirilmediği ise belirsizdir.
Kötü Amaçlı Faaliyetlerin Gelişimi
ShadyPanda uzantılarının ilk gönderimleri 2018 yılında gerçekleşse de, kötü niyetli aktivitelerin belirtileri 2023 yılına kadar gözlemlenmedi. Uzantılar, başlangıçta duvar kağıdı ve verimlilik araçları olarak kendilerini tanıttılar.
Koi araştırmacılarına göre, bu uzantılar eBay, Booking.com ve Amazon gibi platformlardan alışveriş yapanların bağlantılarına izleme kodları ekleyerek gelir elde etmeyi amaçlayan ortaklık dolandırıcılığına yöneldiler.
2024 yılının başlarında, “Infinity V+” adlı bir uzantı, arama yönlendirmeleri yapmaya başladı ve bu durum ShadyPanda operatörlerinin daha cesur hale geldiğini gösterdi.
Veri Toplama ve Kötü Amaçlı İşlevsellik
Koi, bu uzantıların arama sorgularını trovi[.]com’a yönlendirdiğini ve kullanıcıların çerezlerini dergoodting[.]com’a sızdırdığını bildirmektedir. Ayrıca kullanıcıların arama sorgularını, gotocdn alt alanlarına gönderiyorlar.
2024 yılında, 2018 ve 2019’da yüklenen ve o dönemde iyi bir üne kavuşan beş uzantı, güncellemelerle “backdoor” (arka kapı) içermeye başlandı; bu, uzantıların uzak kod yürütmesine olanak tanıyan bir güncelleme ile sağlandı.
“Her enfekte olan tarayıcı, bir uzak kod yürütme çerçevesi çalıştırıyor. Her saat, api.extensionplay[.]com’dan yeni talimatlar kontrol ediyor, keyfi JavaScript indirip bunu tam tarayıcı API erişimi ile yürütüyor,” diye açıklıyor Koi Güvenlik.
Casus Yazılımın Yayılımı
Bu arka kapı sistemi, tarayıcı URL’lerini, parmak izi bilgilerini ve kalıcı tanımlayıcıları AES şifrelemesi ile api[.]cleanmasters[.]store’a dışa aktarıyor.
Google Chrome Store’daki Clean Master uzantısı, kötü niyetli olarak tespit edildiği sırada 200,000 yüklemeye sahipti. Toplamda bu tür kötü amaçlı yazılım taşıyan uzantılar, 300,000 yüke ulaşmış durumdaydı.
Kaynak: Koi Güvenlik
Son aşama, 2023 yılında ‘Starlab Technology’ tarafından yayınlanan beş Microsoft Edge uzantısını kapsamaktadır. Bu uzantılar, şu ana kadar 4 milyon yükleme elde etti.
Bu uzantılardaki casus yazılım bileşeni, aşağıdaki verileri toplayarak Çin’deki 17 farklı domaine gönderiyor:
- Tarayıcı geçmişi
- Arama sorguları ve tuş vuruşları
- Koordinatlarla birlikte fare tıklamaları
- Parmak izi verisi
- Yerel/oturum depolama ve çerezler
Kaynak: Koi Güvenlik
Koi Güvenlik, bu uzantıların, Clean Master setinde görülen benzer bir arka kapıyı bir güncelleme ile sağlama yeterliliğine sahip olduğunu belirtmiştir. Ancak şu ana kadar daha kötü niyetli bir aktiviteye dair herhangi bir belirti görmemişlerdir.
Kullanıcıların Önlem Alması Gerekenler
Koi Güvenlik, kötü amaçlı uzantılarla ilgili bulgularını Google ve Microsoft’a bildirmiştir. Google Play Store’dan kaldırılmalarına rağmen, yazının yazıldığı sırada BleepingComputer, “WeTab 新标签页” (3 milyon kullanıcı) ve “Infinity New Tab (Pro)” (650,000 kullanıcı) uzantılarının Microsoft Edge Eklentileri mağazasında hâlâ mevcut olduğunu bulmuştur.
Uzantılar tespit edilince, kullanıcıların bunları derhal kaldırmaları ve tüm çevrimiçi hesaplarının şifrelerini sıfırlamaları önerilmektedir.
