Sen ShadyPanda: Tarayıcı Uzantılarını Casus Yazılığa Dönüştüren Tehlike
ShadyPanda’nın Yılı: Yedi Yıllık Bir Tehlike
ShadyPanda, son yedi yılda 4.3 milyon kullanıcıya ulaşan tarayıcı uzantılarına yönelik bir kampanyayla gündeme geldi. Koi Security tarafından yayımlanan bir raporda, 2024 yılının ortasında beş uzantının önce legitimitte gösterildiği, fakat sonrasında kötü amaçlı değişikliklere maruz kaldığı belirtildi. Bu uzantılar, sonrasında 300,000 indirme alarak dikkat çekti ve sonunda kaldırıldı.
Uzantılardaki Tehlikeler
Güvenlik araştırmacısı Tuval Admoni, bu uzantıların saat başı uzaktan kod çalıştırdığını ve tam tarayıcı erişimi ile keyfi JavaScript indirdiğini vurguladı. Kullanıcıların her web sitesi ziyaretini izleyebilmekte, şifreli tarayıcı geçmişlerini sızdırmakta ve ayrıntılı tarayıcı parmak izleri toplayabilmektedirler. Üstelik, Clean Master adlı bir uzantı Google tarafından onaylandığı için saldırganlar kullanıcı tabanını genişletmiş ve yıllar sonra kötü amaçlı güncellemeleri sessizce dağıtmıştır.
Gizli İzleme Faaliyetleri
Aynı yayımcı tarafından geliştirilen beş uzantı, kullanıcıların ziyaret ettikleri URL’leri takip etmekte ve arama motoru sorgularını kaydedip bu verileri Çin’deki sunuculara göndermektedir. Toplamda yaklaşık dört milyon kurulum alan bu uzantılardan WeTab, üç milyon kadar indirme almıştır. 2023 yılından itibaren, ruhsatsız bir şekilde gözetim yapma süreci başlamıştır.
Kullanıcıları Kandırma Stratejileri
Başlangıçta masum gibi görünen bu uzantılar zamanla daha karmaşık bir hale gelmiştir. Örneğin, kullanıcıların eBay, Booking.com ve Amazon gibi sitelere yaptıkları ziyaretlerde, gizlice takip kodları ekleyerek haksız kazanç elde etmeye başlamışlardır. 2024 yılı itibarıyla ise saldırılar, arama sorgularının yanı sıra çerezlerin sızdırılmasına kadar uzanan bir dizi faaliyete dönüşmüştür.
Zararlı Güncellemeler ve Kullanıcı Güvenliği
2024 ortasında, üç uzantı daha önce legal olarak faaliyet gösterirken kötü amaçlı güncellemeleri yayımlayarak zararlı yazılımların yayılmasına olanak tanımıştır. Bu güncellemeler, kullanıcıların ziyaret ettikleri her web sitesini izlemek üzere tasarlanmıştır. Elde edilen veriler, şifrelenmiş formatta saldırganın sunucularına gönderilmektedir.
Son Çözüm: Hızla Hareket Etmek
Bu belgelenen vakalar, tarayıcı uzantılarının nasıl birer casus yazılığa dönüşebileceğini gözler önüne sermektedir. Kullanıcılar, bu uzantıları hemen kaldırmalı ve güvenlik önlemlerini artırmalıdır. “Otomatik güncellemeler” gibi güvenli görünen mekanizmalar, aslında tehdit vektörleri haline dönüşebilir. Chrome ve Edge’nin güvenilir güncelleme süreçleri, sessizce kötü yazılım dağıtımı yapabilmektedir.
Sonuç
ShadyPanda’nın başarısı, sadece teknik incelikten öte, yedi yıl boyunca aynı zayıflıklardan sistematik bir şekilde faydalanmakla ilgilidir. Bu durum, extension (uzantı) yönetimlerinin yalnızca yayına alınırken denetlenmesi gerektiğini, fakat sonrasındaki süreçlerin izlenmediğini göstermektedir. Kullanıcıların bu tür uygulamaları kullanmaları durumunda dikkatli olmaları kritik öneme sahiptir.
