Giriş
Chrome Web Store’da yer alan 100’den fazla kötü amaçlı uzantı, kullanıcıların hesap bilgilerini çalmak, arka kapılar oluşturmak ve reklam dolandırıcılığı yapmak amacıyla tasarlandı. Bu tehditler, önemli kullanıcı verlerini hedef alması nedeniyle ciddi bir güvenlik riski teşkil ediyor.
Saldırı Nasıl Çalışıyor?
Kötü amaçlı uzantılar, araştırmacılar tarafından yapılan tespitlere göre, ortak bir komut ve kontrol (C2) altyapısı kullanarak düzenlenen bir kampanyanın parçası. Bu uzantılar, aşağıdaki beş farklı yayıncı kimliği altında birçok kategoriye yerleştirilmiş:
- Telegram yan çubuk istemcileri
- Slot makineleri ve Keno oyunları
- YouTube ve TikTok geliştirmeleri
- Metin çeviri aracı
- Araçlar
Araştırmalar, bu kampanyanın, Contabo VPS üzerinde barındırılan merkezi bir arka uç kullanarak çalıştığını göstermektedir. Çok sayıda alt alan adı, oturum kaçırma, kimlik toplama, komut yürütme ve para kazanma işlemleri için kullanılmaktadır.
Etkilenen Sistemler
Socket, yapılan analizlerde Rusya merkezli bir kötü yazılım hizmeti (MaaS) operasyonuna dair kanıtlar buldu. En büyük grup olan 78 uzantı, saldırgan kontrolündeki HTML’i kullanıcı arayüzüne ‘innerHTML’ özelliği aracılığıyla enjekte ederken, ikinci gruptaki 54 uzantı ise ‘chrome.identity.getAuthToken’ kullanarak, kurbanın e-posta, isim, profil resmi ve Google hesap kimliğini toplamaktadır.
Ayrıca, bu uzantılar Google OAuth2 Bearer token‘ını çalar; bu, uygulamaların kullanıcı verilerine erişmesine veya kullanıcı adına işlem yapmasına izin veren kısa ömürlü bir erişim anahtarıdır. Üçüncü gruptaki 45 uzantı ise gizli bir fonksiyona sahip olup, tarayıcı başlangıcında çalışarak C2’den komut almakta ve kullanıcı etkileşimine ihtiyaç duymadan rastgele URL’ler açabilmektedir.
Çözüm ve Korunma
Araştırmacılar, en tehlikeli uzantılardan birinin her 15 saniyede bir Telegram Web oturumlarını çaldığını ve bu verileri C2’ye ilettiğini bildirmektedir. Socket, bu uzantının, kurbanın mahremiyetini hiçe sayarak başka bir Telegram hesabına geçiş sağlayabilmesini sağlamakta olduğunu vurgulamaktadır.
Socket, Google’a durumu bildirmiştir ancak kötü amaçlı uzantıların, raporlarının yayınlandığı tarihte hala Chrome Web Store’da mevcut olduğunu belirtmektedir. Kullanıcılara, kurulu uzantıları Socket tarafından yayımlanan kimliklerle karşılaştırarak, eşleşenleri derhal kaldırmaları önerilmektedir.
Sonuç
Kullanıcıların derhal aşağıdaki eylemleri gerçekleştirmesi beklenmektedir:
- Chrome Web Store’daki tüm kurulu uzantıları kontrol edin.
- Socket’ın yayımladığı kimliklerle karşılaştırarak, kötü amaçlı uzantıları hemen kaldırın.
- Güvenlik güncellemelerini düzenli olarak yapın ve tarayıcı ile uzantılarınızı güncel tutun.
- Güvenilir kaynaklardan alınan uzantıları tercih edin.
Bu adımlar, kullanıcı verilerinizin korunmasına yardımcı olacaktır.
