GreedyBear: Firefox Kullanıcılarına Yönelik Tehlikeli Bir Saldırı
Son dönemde Firefox kullanıcılarını hedef alan GreedyBear adlı bir kampanya, Mozilla eklenti mağazasına sızarak 150’den fazla kötü amaçlı uzantı yayınladı. Bu kampanya, kullanıcıların cüzdan bilgilerini çalarak tahmini olarak 1.000.000 dolara kadar kazanç sağladı. Peki, bu saldırının arka planında neler var?
- GreedyBear: Firefox Kullanıcılarına Yönelik Tehlikeli Bir Saldırı
- Kampanyanın Yüzeyi: İyi Görünen Kötü Amaçlı Uzantılar
- Kötü Amaçlı Kodun İşleyişi
- Kötü Amaçlı Yazılımlarla Desteklenen Operasyonlar
- Mozilla’nın Önlemleri ve Sorunlar
- Diğer Benzer Saldırılar ve Tehditler
- Kullanıcıların Alması Gereken Önlemler
Kampanyanın Yüzeyi: İyi Görünen Kötü Amaçlı Uzantılar
Koi Security tarafından keşfedilen bu kampanya, bilinen kripto para cüzdanı uzantılarını taklit ederek kullanıcıları tuzağa düşürüyor. MetaMask, TronLink ve Rabby gibi popüler platformların uzantıları önce masum bir şekilde yükleniyor ve zamanla sahte olumlu yorumlarla destekleniyor. İlk aşamada kullanıcılar, bu uzantıların güvenilir olduğuna inanarak yükleme yapıyorlar.
Ancak daha sonra, uzantıları yayınlayanlar orijinal marka kimliğini kaldırıp yeni isimler ve logolarla kötü amaçlı kodları entegre ediyor. Bu kodlar, kullanıcıların cüzdan kimlik bilgilerini ve IP adreslerini çalmak için tasarlanmış bir anahtar kaydedici (keylogger) olarak çalışıyor.
Kötü Amaçlı Kodun İşleyişi
Uzantılardaki kötü amaçlı kod, kullanıcıların form alanları veya açılan pop-up’lar aracılığıyla yaptıkları girişleri kaydediyor. Bu veriler, saldırganların kontrolündeki sunuculara gönderiliyor. Koi Security’den Tuval Admoni, “Silahlandırılmış uzantılar, doğrudan kullanıcı giriş alanlarından cüzdan kimlik bilgilerini elde ediyor ve bunları, grubun kontrolündeki uzak bir sunucuya gönderiyor,” diyor.
Ayrıca, uzantılar kurulum esnasında mağdurların dış IP adreslerini de göndererek, potansiyel hedef belirleme amacı taşıyorlar. Bu, hackerların kullanıcıları izlemeye ve takip etmeye yönelik bir stratejisi haline geliyor.
Kötü Amaçlı Yazılımlarla Desteklenen Operasyonlar
GreedyBear operasyonu, 500’den fazla farklı kötü amaçlı yazılımın dağıtımını yapan Rusça konuşan korsan yazılım siteleri ile destekleniyor. Bu siteler, Trezor ve Jupiter Wallet gibi meşhur cüzdanların sahte versiyonlarını da içeriyor. Kötü amaçlı yazılım yükleri arasında genel trojanlar, bilgi çalıcılar (LummaStealer) veya fidye yazılımları yer alıyor.
Tüm bu siteler, 185.208.156.66 IP adresi ile bağlı ve burası GreedyBear operasyonu için bir komut ve kontrol merkezi olarak işlev görüyor.
Mozilla’nın Önlemleri ve Sorunlar
Koi Security, bu raporla birlikte bulgularını Mozilla’ya iletti ve olumsuz içerikli uzantılar Firefox’un eklenti mağazasından kaldırıldı. Ancak bu durum, kampanyanın geniş kapsamı ve uygulanabilirliği ile dikkat çekiyor. AI teknolojisinin, siber suçluların büyük ölçekli şemalar oluşturmasına yardım ettiği ortaya çıktı.
Raporda, kampanyanın kodunda açıkça AI kaynaklı artefaktlar bulunduğu belirtiliyor. Bu, saldırganların operasyonlarını hızla ölçeklendirmelerini ve daha aza tüketimle çalışabilmelerini sağlıyor. Üstelik, çıkardıkları yüklerin çeşitliliği ve tespiti atlatma yetenekleri de gelişiyor.
Diğer Benzer Saldırılar ve Tehditler
Önceki büyük ölçekteki bir saldırı, geçen ay fazla kullanıcıyı hedef alarak Coinbase, MetaMask ve Trust Wallet gibi cüzdanların sahte uzantılarını içermekteydi. Mozilla, Haziran 2025’te kripto-drainer uzantıları tespit etmek için bir sistem geliştirmiş olmasına rağmen, hâlâ bu tür dolandırıcılıklar Firefox mağazasına girebiliyor.
Koi Security, GreedyBear’ın Chrome Web Store’a genişleme girişimlerini de tespit etti. “Filecoin Wallet” adıyla tanımlanan kötü amaçlı bir Chrome uzantısının aynı veri çalma mantığını kullandığı ve aynı IP adresiyle iletişim kurduğu görüldü.
Kullanıcıların Alması Gereken Önlemler
Bu tehditlerden korunmak için kullanıcılara önerilen en iyi yöntem, yükleme yapmadan önce birden fazla kullanıcı yorumunu okumak ve uzantı ile yayıncı bilgilerini kontrol etmektir. Resmi cüzdan uzantılarına doğrudan ya da çevrimiçi mağazalardaki güvenilir bağlantılarla ulaşmak, kullanıcıların güvenliğini artırabilir.
Sonuç olarak, siber tehditler giderek daha karmaşık hale gelirken, kullanıcıların dikkatli olması ve güvenilir kaynaklardan bilgi edinmesi her zamankinden daha önemli hale gelmiştir.
