Malvertising Tehditleri ve Sahte Tarayıcı Uzantıları
Son zamanlarda, siber güvenlik araştırmacıları, sahte tarayıcı uzantıları kullanan yeni bir malvertising kampanyası hakkında önemli bilgiler yayınladılar. Bu kampanyalar, kötü niyetli reklamlar ve sahte web siteleri yoluyla kullanıcıların hassas verilerini çalmayı hedefliyor. Bitdefender‘a göre, bu kampanya, “Meta Verified” adı altında, Facebook ve Instagram profilleri için mavi onay işaretini açma vaadiyle sahte tarayıcı uzantıları dağıtıyor.
Sahte Uzantıların Çalışma Prensibi
Söz konusu tarayıcı uzantısı, SocialMetrics Pro olarak adlandırılıyor ve en az 37 kötü niyetli reklam aracılığıyla dağıtıldı. Bu reklamlar, kullanıcıları uzantının nasıl indirileceği ve kurulacağına dair video öğreticileriyle birlikte sunuluyor. Ancak gerçekte, bu uzantı, Facebook’tan oturum çerezleri toplama yeteneğine sahip ve bu verileri saldırganların kontrolünde bulunan bir Telegram botu ile paylaşıyor. Ek olarak, uzantı, mağdurun IP adresini elde etmek için ipinfo.io gibi hizmetlere sorgular gönderebiliyor.
Kötü niyetli yazılımlar, çalınan bu çerezleri kullanarak Facebook Graph API ile etkileşime girebiliyor ve hesaplara dair ek bilgileri çekebiliyor. Önceki örneklerde de, NodeStealer gibi kötü niyetli yazılımlar, Facebook Graph API’yi kullanarak hesap bilgilerini elde etme yoluna gitmişti.
Hackerların Hedefleri ve Stratejileri
Bu tür kampanyaların nihai amacı, kıymetli Facebook İşletme ve Reklam hesaplarını karaborsa forumlarında satmak veya başka kötü niyetli kampanyalar için yeniden kullanmaktır. Bu durum, hesapların sürekli olarak hedef alınmasına ve dolayısıyla, kendi kendini sürdüren bir döngü yaratılmasına neden oluyor.
Kampanya, özellikle Vietince konuşan tehdit aktörleriyle ilişkilendiriliyor. Bu aktörler, çeşitli çalma yazılımları kullanarak Facebook hesaplarına izinsiz erişmeyi hedefliyor. Video öğreticileri, bu yaklaşımı güçlendiren Vietince anlatımlar bulunmasıyla destekleniyor.
Yeni Sahte Araçlar ve Platformlar
Daha fazla güvenlik tehdidi, Meta işletme sahiplerini hedef alan başka bir kampanyayla da devam ediyor. Çalıntı web siteleri aracılığıyla dağıtılan sahte Chrome uzantıları, kullanıcılara yapay zeka destekli reklam optimizasyon araçları olarak tanıtılıyor. Bu tür bir kampanya, Madgicx Plus isimli sahte bir platform üzerinden yürütülüyor.
Kampanyalar, kullanıcıları verimliliği artırma ve reklam performansını yükseltme vaadiyle cesaretlendirirken, aslında kötü niyetli işlevler sunarak işletme oturumlarını ele geçirme ve özgün kimlik bilgilerini çalma yeteneklerine sahiptir. Çalınan bilgilerin amacı genellikle Meta İşletme hesaplarının ele geçirilmesidir.
Kullanıcıların Dikkat Etmesi Gerekenler
Kullanıcılar, kurulumdan sonra bu uzantıların her web sitesine erişim hakkına sahip olmasının ne kadar tehlikeli olduğunu anlamalıdır. Bu uzantılar, açık script enjekte edebilmekte, ağ trafiğinin izlenmesine ve değiştirilmesine olanak tanımaktadır. Ayrıca hedef kullanıcıların alışkanlıklarını takip ederek, form verilerini yakalamakta ve hassas data toplamaktadırlar.
Bu uzantılar, kullanıcıların kimlik bilgilerini çalmanın yanı sıra Facebook ve Google hesapları ile bağlantı kurmaya da zorlar. Göz ardı edilen bir diğer nokta ise, bu uzantıların, kullanıcıların çalıntı Facebook kimlik bilgilerini kullanarak Facebook Graph API ile etkileşimde bulunma yeteneği olmasıdır.
Saldırganların Yöntemleri ve Sonuçları
Siber saldırganların bu iki aşamalı yaklaşımı, öncelikle Google kimlik verilerini ele geçirip, ardından Facebook’a geçerek daha geniş bir erişim elde etme stratejisini göstermektedir. Bu durum, değerli iş veya reklam varlıklarını ele geçirme şansını artırmaktadır.
Sonuç olarak, kullanıcıların bu tür kampanyalardan korunmak için dikkatli olmaları, güvenilir kaynaklardan yazılım indirmeleri ve şüpheli bağlantılara tıklamamaları büyük önem taşımaktadır. Her daim güncel güvenlik yazılımlarını kullanmak ve online etkinliklerde temkinli olmak, bu tür siber tehditlere karşı en etkili önlemler arasında yer alıyor.
