KongTuke: Tehditin Ardındaki Kötü Amaçlı Uzantı
Siber güvenlik araştırmacıları, “KongTuke” adı verilen geçmişte hiç belgelenmemiş bir uzaktan erişim trojanı (RAT) olan “ModeloRAT”ı yaymak için kötü amaçlı bir Google Chrome uzantısı kullanarak devam eden bir saldırı kampanyasını ortaya çıkardı. Bu saldırı, kurbanları ikna etmek için ClickFix benzeri tuzaklar kullanarak tarayıcıyı kasıtlı olarak çökertmekte ve rastgele komutlar çalıştırmalarını teşvik etmektedir.
Saldırı Nasıl Çalışıyor?
KongTuke, siber suçluların takviminde “CrashFix” ismiyle anılmaktadır. Bu saldırı aracının ardında, kurban sistemlerini profilinden geçirip, onları zararlı yükleme sitelerine yönlendiren bir trafik dağıtım sistemi (TDS) bulunmaktadır. Bu sistem, kurbanların sistemlerini etkileyip, sonraki malware dağıtımı için diğer tehdit aktörlerine devretmektedir.
- CVE-2025-XXXXX gibi güncel CVE kodları kullanılabilir.
- Bu kampanyanın etkileyebileceği bazı gruplar arasında Rhysida ransomware, Interlock ransomware ve TA866 bulunmaktadır.
Etkilenen Sistemler
KongTuke’nin kullandığı kötü amaçlı uzantı, “NexShield – Advanced Web Guardian” (“ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi”) adıyla tanınmaktadır ve 5.000’den fazla kez indirilmiştir. Uzantı, gerçek bir reklam engelleyici olan “uBlock Origin Lite” versiyonu ile neredeyse aynı görünüme sahiptir. Kullanıcıları yanıltarak sahte bir güvenlik uyarısı vermekte ve Microsoft Edge’in güvenlik taraması yapılması için yönlendirmektedir.
İkna Edici Yöntemler ve Zayıflatma Teknikleri
Kullanıcılara bir “tarama” gerçekleştirme önerisi sunulmakta, bu da tarayıcının çökmesine neden olan bir Denial-of-Service (DoS) saldırısına yol açmaktadır. Bu saldırı, bir sonsuz döngü aracılığıyla bir milyar işlemi tekrar eden bağlantılar oluşturur:
- Tarayıcı yavaşlar ve cevap veremez hale gelir.
- Uzantı, kurbanın bilgilerini kötü amaçlı bir sunucuya iletmek amacıyla bir benzersiz kimlik gönderir.
Etkili Korunma Yöntemleri
KongTuke’nin etkilerinden korunmanın en iyi yolu, güvenlik güncellemelerinin ve yamalarının uygulanmasıdır. İşte önerilen adımlar:
- Tarayıcı uzantılarını düzenli olarak kontrol edin ve tanımadığınız uzantıları kaldırın.
- Kötü amaçlı uzantıları önlemek için güvenilir kaynaklardan uzantı indirin.
- Antivirüs yazılımlarınızı güncel tutun ve düzenli taramalar yapın.
Sonuç ve Öneriler
KongTuke saldırısı, kullanıcıların kötü niyetli yazılımlara karşı ne kadar savunmasız olduğunu bir kez daha gözler önüne seriyor. Kurbanların bu tür saldırılara maruz kalmamaları için, tarayıcı güncellemelerini, uzantı denetimlerini ve güvenlik yazılımlarını mütemadiyen güncellemeleri önemle tavsiye edilir. Ayrıca, herhangi bir saldırı durumunda hızlı bir şekilde müdahale etmek için gerekli yedekleme ve kurtarma planlarını geliştirmeleri gerekmektedir.
