İki Zararlı Chrome Uzantısı
Son günlerde siber güvenlik araştırmacıları, kullanıcıların kimlik bilgilerini ele geçirebilecek iki zararlı Google Chrome uzantısını tespit etti. Aynı isimle ve aynı geliştirici tarafından yayınlanan bu uzantılar, kullanıcıları bir “çoklu konum ağ hız testi eklentisi” olarak kandırmakta.
Uzantıların Detayları
İlk uzantı Phantom Shuttle (ID: fbfldogmkadejddihifklefknmikncaj) 26 Kasım 2017’de 2000 kullanıcıyla yayınlandı. İkinci uzantı ise günümüzde 180 kullanıcıya ulaşmış durumda ve 27 Nisan 2023’de yayınlandı (ID: ocpcmfmiidofonkbodpdhgddhlcmcofd). Kullanıcılar, fiyatları 9.9 CNY’den 95.9 CNY’ye kadar değişen abonelikler ödeyerek, gerçek bir VPN hizmeti aldıklarını düşünmekte. Ancak gerçekte, iki uzantı da aynı zararlı işlemleri gerçekleştirmektedir.
Zararlı Faaliyetler
Bu uzantılar, kullanıcıların internetteki trafiğini tamamen kesip, kimlik bilgilerini ele geçirmek üzere tasarlanmış. Uzantılar, kullanıcıların ödeme yaptıktan sonra VIP statüsü kazanmalarını sağlar ve “smarty” proxy modunu otomatik olarak etkinleştirir. Bu mod, 170’in üzerinde hedef alan üzerinden trafiği C2 alt yapısına yönlendirir.
Gerçek Amaç: Kimlik Bilgilerini Çalmak
Uzantılar, kullanıcıların trafiğini ele geçirmek için iki JavaScript kütüphanesinde zararlı değişiklikler yapmaktadır. Bu kütüphaneler arasında jquery-1.12.2.min.js ve scripts.js bulunmaktadır. Kod, her bir HTTP kimlik doğrulama isteğine (Basic Auth, Digest Auth veya proxy kimlik doğrulaması) sert kodlanmış proxy kimlik bilgilerini otomatik olarak enjekte edecek şekilde tasarlanmıştır.
Bu durum, kullanıcıların uzantıya olan güvenlerini sarsarken, aynı zamanda zararlı aktif faaliyetlerini gizlemektedir. Kullanıcılar, uzantının sağladığı fonksiyonelliğin gerçek yüzünü görememektedir.
Proxy Modları
Kullanıcılar proxy sunucusuna bağlandıklarında, Chrome’un proxy ayarları bir Proxy Auto-Configuration (PAC) scripti ile yapılandırılır. Bu üç mod şunlardır:
- Close: Proxy özelliğini devre dışı bırakır.
- Always: Tüm web trafiğini proxy üzerinden yönlendirir.
- Smarty: 170’den fazla yüksek değerli alanı proxy üzerinden yönlendirir.
Hedef Alanlar ve Tehlikeler
Uzantının hedeflediği alanlar arasında GitHub, Amazon Web Services, Facebook ve diğer birçok önemli platform bulunmaktadır. Bu durum, olası bir saldırı veya veri hırsızlığı açısından büyük bir risktir. Uzantının amacı, developer sırlarının çalınması üzerinden tedarik zinciri saldırılarına kapı aralamaktır.
Sonuç ve Öneriler
Bu tür uzantılar, internet tarayıcıları üzerinden kötü niyetli eylemlere kapı aralamaktadır. Kullanıcıların bu uzantıları mümkün olan en kısa sürede kaldırmaları gerekmektedir. Kurumsal güvenlik ekiplerinin, uzantı izinlerini izlemeleri, abonelik sistemine sahip uzantıları tetkik etmeleri ve şüpheli proxy kimlik doğrulama girişimlerini izlemeleri oldukça önemlidir.
Unutulmamalıdır ki, bu tür siber tehditlerle başa çıkmanın en iyi yolu, dikkatli ve bilinçli bir internet kullanımıdır.
