Giriş
Son zamanlarda, 300.000’den fazla kullanıcı tarafından yüklenen 30 kötü amaçlı Chrome eklentisi, sahte yapay zeka asistanları olarak görünerek hesap bilgilerini, e-posta içeriklerini ve tarayıcı verilerini çalmaktadır. Bu tür saldırılar, kullanıcıların gizliliğini ciddi şekilde tehlikeye atmakta, siber güvenlik alanında büyük bir endişe kaynağı oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
Araştırmacılar, tarayıcı güvenliği platformu LayerX aracılığıyla, bu kötü amaçlı eklenti kampanyasını AiFrame olarak adlandırmışlardır. Analiz edilen tüm eklentilerin, tapnetic[.]pro altındaki bir alan adı ile iletişim kurarak aynı kötü amaçlı çabaya dahil olduğu tespit edilmiştir. Eklentiler, kullanıcının ziyaret ettiği web sitelerinden sayfa içeriğini çıkararak, hassas kimlik doğrulama sayfalarını hedef almaktadır.
Eklentilerin temel işleyişi, yerel olarak AI işlevselliği uygulamamakta; bunun yerine kullanıcıya vaadedilen özellikleri sunmak için tam ekran iframe yüklemektedir. Bu durum, yayımcıların eklentilerin mantığını güncellemesine olanak tanır, böylece yeni bir güncelleme yayınlama zorunluluğundan kaçınabilirler.
Etkilenen Sistemler
AiFrame kampanyasında yer alan ve en çok kullanılan bazı eklentiler şunlardır:
- Gemini AI Sidebar (fppbiomdkfbhgjjdmojlogeceejinadg) – 80,000 kullanıcı
- AI Sidebar (gghdfkafnhfpaooiolhncejnlgglhkhe) – 70,000 kullanıcı
- AI Assistant (nlhpidbjmmffhoogcennoiopekbiglbp) – 60,000 kullanıcı
- ChatGPT Translate (acaeafediijmccnjlokgcdiojiljfpbe) – 30,000 kullanıcı
- AI GPT (kblengdlefjpjkekanpoidgoghdngdgl) – 20,000 kullanıcı
- ChatGPT (llojfncgbabajmdglnkbhmiebiinohek) – 20,000 kullanıcı
- Google Gemini (fdlagfnfaheppaigholhoojabfaapnhb) – 10,000 kullanıcı
LayerX, kötü amaçlı eklentilerin tümünün aynı iç yapı, JavaScript mantığı, izinler ve arka uç altyapısını paylaştığını tespit etmiştir. Özellikle 15 eklenti, Gmail verilerini hedef almaktadır ve ‘mail.google.com’ üzerinde çalışan bir içerik betiği kullanılarak, e-posta içeriğini doğrudan DOM’dan okur.
Çözüm ve Korunma
Kötü amaçlı eklentilerin belirlenen davranışları, kullanıcıların e-posta içeriklerini dışarıya iletebileceğinden, bu durum büyük bir güvenlik açığı yaratmaktadır. Eklentiler, Web Speech API kullanarak uzaktan etkinleştirilen ses tanıma ve transkript üretme mekanizması barındırmaktadır. Kullanıcılara önerilen adımlar:
- LayerX’in açıkladığı kötü amaçlı eklenti listesine erişin.
- Belirtilen eklentilerin varlığından emin olun ve onları Chrome’dan kaldırın.
- Hesaplarınız için şifreleri yenileyin ve iki faktörlü kimlik doğrulaması kullanın.
E-posta güvenliğinizi sağlamak adına, gereken tüm önlemleri alarak kullanıcı bilgilerinizin korunmasını sağlayabilirsiniz. Unutmayın, siber güvenliğiniz için düzenli kontrol ve güncellemeler yapmak her zaman kritik öneme sahiptir.
