GhostPoster Saldırıları Nedir?
Son zamanlarda teknoloji dünyasında “GhostPoster” adıyla anılan bir kampanya dikkat çekmektedir. Bu kampanya, 50.000’den fazla indirime sahip olan bazı kötü niyetli Firefox uzantılarının logo resimlerine gizli JavaScript kodları yerleştirerek çalışmaktadır. Amaçları, kullanıcıların tarayıcı aktivitelerini izlemek ve arka kapılar açmaktır.
Kötü Amaçlı Kodun İşlevi
Söz konusu kötü amaçlı kod, operatörlere kullanıcı tarayıcısına yüksek yetkiyle kalıcı erişim sağlamaktadır. Bu sayede, bağlı olduğumuz bir çok platformun bağlantılarını çalabilir, izleme kodları ekleyebilir ve tıklama ile reklam dolandırıcılığı yapabilirler.
Tehditin Yapısı ve Yöntemleri
Gizli JavaScript kodu, ana yükü uzak bir sunucudan almak için bir “loader” işlevi görmektedir. Algılamayı zorlaştırmak amacıyla, bu ana yük yalnızca her on denemede bir kez indirilmektedir.
Koi Security’nin Araştırmaları
Koi Security uzmanları, GhostPoster kampanyasını keşfetti ve 17 gömülü Firefox uzantısını belirledi. Bu uzantılar, ya PNG logosunu okuyarak kötü niyetli yazılım yükleyicisini çalıştırmakta veya saldırganın sunucusundan ana yükleme dosyasını indirmektedir. Kötü niyetli uzantılar arasında en popüler olanları şunlardır:
- free-vpn-forever
- screenshot-saved-easy
- weather-best-forecast
- crxmouse-gesture
- cache-fast-site-loader
- freemp3downloader
- google-translate-right-clicks
- google-traductor-esp
- world-wide-vpn
- dark-reader-for-ff
- translator-gbbd
- i-like-weather
- google-translate-pro-extension
- 谷歌-翻译
- libretv-watch-free-videos
- ad-stop
- right-click-google-translate
Kötü Amaçlı Araçların Özellikleri
İlk olarak FreeVPN Forever uzantısı Koi Security tarafından analiz edilmiştir. Bu uzantı, logo dosyasının ham baytlarını analiz ederek gizlenmiş JavaScript parçacığını bulmuş ve böylece kötü niyetli yazılım yükleyicisini ortaya çıkarmıştır.
Kaynak: Koi Security
JavaScript yükleyici, 48 saat sonra bir yükü almak için etkinleşmektedir. Yük, sabit bir alan adından alınmaktadır ve eğer ilk alan adından yük alınamazsa bir yedek alan adı devreye girmektedir. Tanınmadık bir formatla indirilen bu yük, şifrelenmiş durumda olup tespit edilmesi zor bir yapıya sahiptir.
Kullanıcıların Başına Gelebilecek Tehditler
İndirilen yüklemenin sonrası birçok zararlı etkisi bulunmaktadır. Bu etkiler arasında:
- Önemli e-ticaret sitelerindeki bağlantıları ele geçirip komisyonları saldırganlara yönlendirmek.
- Kullanıcıların ziyaret ettiği her sayfada Google Analytics izleme kodlarını eklemek.
- Tüm HTTP yanıtlarından güvenlik başlıklarını kaldırmak.
- Üç farklı mekanizma ile CAPTCHA’yı geçmek.
- Silindikten sonra 15 saniye içinde kendini yok eden görünmez iframelerle reklam dolandırıcılığı yapmak.
Bu kıdemli tehdit, kullanıcı gizliliğine ciddi tehdit oluşturmakta ve daha kötü sonuçlara neden olabilecek bir senaryoya zemin hazırlamaktadır.
Alınması Gereken Önlemler
Sonuç olarak, kullanıcıların bu tür kötü niyetli uzantıları sistemlerinden kaldırmaları ve kritik hesaplarının şifrelerini sıfırlamaları önerilmektedir. Yine de, çoğu kötü niyetli uzantı Firefox’un Eklenti sayfasında halen mevcut durumdadır. Mozilla’ya bu konuda ulaşılmış ancak henüz bir yanıt alınamamıştır.
