Yeni Bir Tehdit: Kötü Amaçlı Chrome Uzantıları
Son zamanlarda, siber güvenlik araştırmacıları, kullanıcı verilerini toplama ve tarayıcı düzeyinde suistimallere yol açan 108 farklı Google Chrome uzantısının bulunduğu bir kampanyayı keşfetti. Bu uzantılar, aynı komut ve kontrol (C2) altyapısı ile iletişim kurarak kullanıcıların kişisel bilgilerini hedef alıyor.
Etkilenen Sistemler
Söz konusu uzantılar, Yana Project, GameGen, SideGames, Rodeo Games, ve InterAlt gibi beş farklı yayıncı kimliği altında yayınlandı ve toplamda 20,000 kurulum sayısına ulaştı. Uzmanlar, bu uzantıların şu şekilde çalıştığını bildiriyor:
- 54 uzantı, OAuth2 aracılığıyla Google hesap kimliğini çalıyor.
- 45 uzantı, tarayıcı açıldığında rasgele URL’ler açan evrensel bir arka kapı içeriyor.
- Diğer uzantılar çeşitli kötü amaçlı davranışlar sergiliyor:
- Her 15 saniyede bir Telegram Web oturumlarını sızdırmak.
- YouTube ve TikTok’un güvenlik başlıklarını kaldırmak ve kumar overlay’leri ile reklamlar eklemek.
- Kullanıcının ziyaret ettiği her sayfaya içerik betikleri eklemek.
- Tüm çeviri isteklerini saldırganın sunucusu üzerinden yönlendirmek.
Saldırı Nasıl Çalışıyor?
Kötü amaçlı uzantılar, Telegram yan çubuğu istemcileri, slot makineleri ve Keno oyunları, YouTube ve TikTok geliştiricileri gibi çeşitli işlevlerle kullanıcıya maske takıyor. Bu uzantıların arka plandaki kötü amaçlı kodları, oturum bilgilerini yakalayıp, rasgele betikler ekleyip ve saldırganın seçtiği URL’leri açıyor. Kullanıcı bu kötü amaçlı aktivitelerden habersizdir.
İlgili Uzantılar
Aşağıda, kötü amaçlı kod taşıyan bazı tanımlanmış uzantılar listelenmiştir:
- Telegram Multi-account (ID: obifanppcpchlehkjipahhphbcbjekfa): Telegram Web tarafından kullanılan kullanıcı_auth belirtecini çıkararak verileri uzaktan bir sunucuya sızdırır. Ayrıca yerel depolamayı tehdit aktörü tarafından sağlanan oturum verileriyle yenileyebilir.
- Web Client for Telegram – Teleside (ID: mdcfennpfgkngnibjbpnpaafcjnhcjno): Telegram’ın güvenlik başlıklarını kaldırarak Telegram oturumlarını çalmaya yönelik betikler enjekte eder.
- Formula Rush Racing Game (ID: akebbllmckjphjiojeioooidhnddnplj): Kullanıcının Google hesap kimliğini ilk kez oturum açma butonuna tıkladığında çalar.
Çözüm ve Korunma
Kötü amaçlı uzantıların arka planda çalışan kötü kodları sayesinde kullanıcılar düşünülenden daha fazla risk altındadır. Socket araştırmacıları, tüm 108 uzantının aynı arka uca sahip olduğunu ve bunun 144.126.135[.]238 adresinde barındırıldığını belirtiyor. Bu durum, kullanıcıların bu uzantıları hızlı bir şekilde kaldırmasını ve Telegram mobil uygulamasından tüm oturumları kapatmalarını zorunlu kılmaktadır.
Sonuç
Eğer yukarıda belirtilen uzantılardan herhangi birini yüklediyseniz, derhal kaldırın ve Telegram oturumlarınızı kapatın. Ayrıca, tarayıcı ve tüm uzantılarınızı güncellediğinizden emin olun. Siber güvenliğinizi sağlamak için dikkatli olun!
