GhostPoster Malware: Tehdit Nedir?
Son dönemde siber güvenlik dünyasında önemli bir tehdit ortaya çıktı: GhostPoster. Bu malware, 17 farklı Mozilla Firefox tarayıcı eklentisinin logo dosyalarına gömülmüş kötü amaçlı JavaScript kodu kullanarak, kullanıcıların tarayıcı aktivitelerini istismar ediyor. Bu eklentiler, toplamda 50,000’den fazla kez indirilmişti ve artık mevcut değiller.
Eklentilerin Özellikleri ve Sol Bilgileri
Bu eklentiler, VPN hizmetleri, ekran görüntüsü alıcılar, reklam engelleyiciler ve Google Translate’in resmi olmayan versiyonları gibi faydalı araçlar olarak tanıtılıyordu. En eski eklenti olan Dark Mode, 25 Ekim 2024’te yayımlandı ve tüm web siteleri için karanlık tema imkanı sunuyordu. İşte bu eklentilerin tam listesi:
- Free VPN
- Screenshot
- Weather (weather-best-forecast)
- Mouse Gesture (crxMouse)
- Cache – Fast site loader
- Free MP3 Downloader
- Google Translate (google-translate-right-clicks)
- Traductor de Google
- Global VPN – Free Forever
- Dark Reader Dark Mode
- Translator – Google Bing Baidu DeepL
- Weather (i-like-weather)
- Google Translate (google-translate-pro-extension)
- 谷歌翻译
- libretv-watch-free-videos
- Ad Stop – Best Ad Blocker
- Google Translate (right-click-google-translate)
GhostPoster’ın Çalışma Mekanizması
GhostPoster, kullanıcının tarayıcıyı açtığında logo dosyasını alarak zararlı kodu aktive ediyor. Bu kod, bir işaretleyici arayarak JavaScript kodunu çıkarıyor. Elde edilen yük ise, “www.liveupdt[.]com” ve “www.dealctr[.]com” gibi dış sunuculardan yükleniyor ve her yükleme arasında 48 saat bekliyor.
Kötü Amaçlı Yüklerin Özellikleri
Bu kötü amaçlı yazılım, kullanıcıların tarayıcı güvenliğini aşarak çok katmanlı bir saldırı gerçekleştiriyor. Araştırmacılar, GhostPoster’ın aşağıdaki yöntemlerle kullanıcı aktivitelerini gözlemleyerek para kazandığını ortaya koydular:
- Bağlantı İstismarı: E-ticaret sitelerindeki ortaklık bağlantılarını keserek legitimte ortakların komisyonlarını mahrum bırakıyor.
- İzleme Enjeksiyonu: Kurbanın ziyaret ettiği web sayfalarına Google Analytics izleme kodu ekleyerek duygu analizi yapıyor.
- Güvenlik Başlıklarının Kaldırılması: HTTP yanıtlarındaki güvenlik başlıklarını kaldırarak kullanıcıları saldırılara açık hale getiriyor.
- Gizli iframe Enjeksiyonu: Görünmez iframe’ler ekleyip saldırgan kontrolündeki URL’leri yükleyerek tıklama dolandırıcılığı yapıyor.
- CAPTCHA Atlatma: Bot tespitine karşı çeşitli yöntemler kullanarak CAPTCHA engellerini aşma girişiminde bulunuyor.
Siber Güvenlikteki Son Gelişmeler
Son günlerde, Chrome ve Edge için popüler bir VPN eklentisinin, ChatGPT ve diğer yapay zeka platformlarından gizlice veri topladığı ortaya çıktı. Bu durum, siber güvenlik uzmanlarını endişelendiriyor. Özellikle ücretsiz VPN’lerin gizlilik vaadi, aslında kullanıcıların bilgilerinin toplanmasıyla sonuçlanıyor.
Koi Security, “Ücretsiz VPN’ler, gizliliği vaat ediyor fakat aslında bunun tam tersi meydana geliyor.” diyerek kullanıcıları uyarıyor. Kullanıcıların tarayıcılarında güvenli bir ortam sağlamak için dikkatli olmaları gerekiyor.
