Giriş
Kötü niyetli bir Microsoft Edge uzantısı olan ‘Edgecution’, tarayıcı kumandası dışına çıkmak için kullanılarak bir fidye yazılımı saldırısında yer aldı. Bu saldırı, siber güvenlik alanında önemli bir tehdit oluşturarak, uzantıların ve yerel uygulamaların etkileşimindeki zayıflıkları gün yüzüne çıkardı.
Saldırı Nasıl Çalışıyor?
Edgecution saldırısı, saldırganın Microsoft Teams üzerinden IT destek personeli gibi davranarak hedef çalışanları sahte bir sayfaya yönlendirmesiyle başlar. Bu sahte sayfa, bir spam filtre güncellemesi yüklemek bahanesiyle çalışanlardan bilgi alır. Araştırmacılar, bu kötü niyetli uzantının CVE-XXXX-XXXX koduyla tanımlanmadığını belirtmekte ve araştırmayı gerçekleştiren Zscaler, saldırının Payouts Kings fidye yazılımı operasyonuyla bağlantılı olduğunu ifade etmektedir.
Saldırıda kullanıcılar, sahte Microsoft “Outlook Güncellemeleri Yönetim Konsolu” sayfasına yönlendirilerek şunlarla karşılaşırlar:
- Güncelleme paketleri için indirme butonları
- Yazılım doğrulama butonları
Bu butonlar, kötü niyetli bileşenler indirir ya da Microsoft 365 ve Outlook şifrelerini talep eden formlar başlatır.
Etkilenen Sistemler
Edgecution, Chrome Native Messaging protokolünü kullanarak tarayıcı uzantılarının yerel masaüstü uygulamalarıyla etkileşimine olanak sağlamaktadır. Bu sayede tarayıcı, yerel uygulamayı ayrı bir işlem olarak başlatabilir ve standart giriş/çıkış veri akışları üzerinden iletişim kurabilir.
Saldırının temel bileşenleri arasında bulunan şunlar yer alır:
- Python 3.13.3 versiyonu içeren bir ZIP arşivi
- extension ve native adında iki dizin
Kötü niyetli uzantı, Edge İzleme Ajanı adıyla maskelenmiş ve sömürücüyle iletişim kurarak talimatlar alıp sonuçları geri iletmektedir.
Çözüm ve Korunma
Zscaler’in yaptığı teknik analiz, hem kötü niyetli uzantının hem de Python tabanlı arka kapının ileride kullanılabilecek bazı kullanılmayan komutlar içerdiğini göstermektedir. Araştırmacılar, Edgecution’un saldırgalarının giderek daha karmaşık yöntemler kullanarak sistemlerde kalıcı hale geldiğini vurgulamaktadır. Bu nedenle, aşağıdaki önlemler alınmalıdır:
- Tarayıcı uzantılarını izleme sürecinin güçlendirilmesi
- Yerel mesajlaşma ana bilgisayar yapılandırmaları üzerinde sıkı kontrollerin uygulanması
Ayrıca, çalışanları sahte güncellemeler ve sosyal mühendislik saldırıları konusunda bilgilendirmek son derece önemlidir.
Sonuç
Kullanıcılara, tarayıcı uzantılarını dikkatle izlemelerini, sistemlerinde istenmeyen yazılımlar için tarama yapmalarını ve güncellemeleri denetlemeleri önerilir. Port kapatma ve sıkı güvenlik önlemleri alarak bu tür saldırılardan korunmak için gerekli adımları atmalıdırlar.
