Son zamanlarda, GhostPoster kampanyası ile bağlantılı olarak 17 kötü niyetli uzantı daha tespit edildi. Chrome, Firefox ve Edge tarayıcılarında toplamda 840,000 kez kurulan bu uzantılar, kullanıcıların tarayıcı aktivitelerini izliyor ve bir arka kapı açıyor.
Saldırı Nasıl Çalışıyor?
Gizli JavaScript kodları içeren uzantılar, tarayıcı aktivitelerini izlerken, dış kaynaklardan obfuscate (karıştırılmış) bir yükleme dosyası alıyor. Bu kötü niyetli kod, aşağıdaki işlevleri gerçekleştiriyor:
- Kullanıcıların tarayıcı aktivitelerini izleme.
- Büyük e-ticaret platformlarındaki referans linklerini ele geçirme.
- Rekabet dolandırıcılığı ve tıklama dolandırıcılığı için görünmez iframe’ler enjekte etme.
Etkilenen Sistemler
LayerX’in yaptığı yeni bir rapora göre, GhostPoster kampanyası hala devam etmekte ve şu uzantılar etkilenmektedir:
- Google Translate in Right Click – 522,398 kurulum
- Translate Selected Text with Google – 159,645 kurulum
- Ads Block Ultimate – 48,078 kurulum
- Floating Player – PiP Mode – 40,824 kurulum
- Convert Everything – 17,171 kurulum
- Youtube Download – 11,458 kurulum
- One Key Translate – 10,785 kurulum
- AdBlocker – 10,155 kurulum
- Save Image to Pinterest on Right Click – 6,517 kurulum
- Instagram Downloader – 3,807 kurulum
- RSS Feed – 2,781 kurulum
- Cool Cursor – 2,254 kurulum
- Full Page Screenshot – 2,000 kurulum
- Amazon Price History – 1,197 kurulum
- Color Enhancer – 712 kurulum
- Translate Selected Text with Right Click – 283 kurulum
- Page Screenshot Clipper – 86 kurulum
Araştırmalara göre, bu uzantılar ilk olarak Microsoft Edge’de ortaya çıkmış ve daha sonra Firefox ile Chrome’a yayılmıştır.
Yeni Saldırı Varyantı
LayerX, daha önce belgelenen kızılcıkların çoğunlukla aynı kalmasına rağmen, “Instagram Downloader” uzantısında daha gelişmiş bir varyant tespit etti. Kötü niyetli yürütme mantığı, uzantının arka plan betiğine taşınmış ve yalnızca simge değil, bir paketlenmiş görüntü dosyası da gizli yükleme için kullanılmıştır.
Arka plan betiği çalıştırıldığında, görüntü dosyasının ham byte’larını tarayarak belirli bir ayırıcıyı (>>>>) arar, gizli veriyi çıkarır ve yerel uzantı depolamasında saklar. Daha sonra bu veriyi Base64 kodlayarak JavaScript olarak yürütmektedir.
“Bu aşamalı yürütme akışı, istikrarlı bir şekilde uzun süreli uyku, modülerlik ve hem statik hem de davranışsal tespit mekanizmalarına karşı dayanıklılık yönünde açık bir evrimi göstermektedir” diye yorumladı LayerX.
Yeni tespit edilen uzantıların artık Mozilla ve Microsoft’un eklenti mağazalarında bulunmadığı, fakat kullanıcıların hâlâ risk altında olabileceği vurgulanmaktadır.
Çözüm ve Korunma
Google, uzantıların Chrome Web Store’dan kaldırıldığını doğrulamıştır. Ancak, aşağıdaki adımları atarak kendinizi bu tehditlere karşı koruyabilirsiniz:
- Tarayıcı uzantılarını düzenli olarak kontrol edin ve tanımadığınız veya şüpheli bulunan uzantıları kaldırın.
- Tüm kurulu uzantıları güncelleyin ve güvenlik güncellemelerini takip edin.
- Sistem güvenliğinizi artırmak için güvenlik yazılımları kullanın ve ağ trafiğinizi izleyin.
Sonuç olarak, bu uzantılardan birini yüklediyseniz hemen kaldırın ve tarayıcılarınızdaki güvenlik ayarlarını gözden geçirin. Tüm bu önlemler, siber tehditlere karşı koruma sağlamak için kritik önem taşımaktadır.
