29 Aralık 2025Ravie LakshmananUç Nokta Koruması / Tarayıcı Güvenliği

Yeni bir saldırı kampanyası, bilinen Chrome tarayıcı uzantılarını hedef alarak en az 16 uzantının ele geçirilmesine ve 600.000’den fazla kullanıcının veri açığa çıkmasına ve kimlik bilgileri hırsızlığına maruz kalmasına yol açtı.

Saldırı, bir kimlik avı kampanyası yoluyla Chrome Web Mağazası’ndaki tarayıcı uzantılarının yayıncılarını hedef aldı ve çerezleri ve kullanıcı erişim belirteçlerini çalmak amacıyla meşru uzantılara kötü amaçlı kod eklemek için erişim izinlerini kullandı.

Açığa çıktığı bilinen ilk şirket siber güvenlik firması Cyberhaven’dı.

27 Aralık’ta Cyberhaven açıklandı Bir tehdit aktörünün tarayıcı uzantısını tehlikeye attığı ve cyberhavenext etki alanında bulunan harici bir Komuta ve Kontrol (C&C) sunucusuyla iletişim kurmak için kötü amaçlı kod enjekte ettiği[.]pro, ek yapılandırma dosyalarını indirin ve kullanıcı verilerini sızdırın.

CEO’su Or Eshed, “Tarayıcı uzantıları web güvenliğinin yumuşak merkezidir” diyor LayerX Güvenliğitarayıcı uzantısı güvenliği konusunda uzmanlaşmıştır. “Tarayıcı uzantılarını zararsız olarak düşünme eğiliminde olsak da, pratikte bunlara sıklıkla çerezler, erişim belirteçleri, kimlik bilgileri ve daha fazlası gibi hassas kullanıcı bilgilerine yönelik kapsamlı izinler veriliyor.

Eshed, “Birçok kuruluş, uç noktalarına hangi uzantıları yüklediklerini bile bilmiyor ve bunların maruz kalma boyutunun farkında değil” diyor.

Cyberhaven ihlali haberi duyulduğunda, güvenliği ihlal edilen ve aynı C&C sunucusuyla iletişim kuran ek uzantılar da hızla belirlendi.

SaaS güvenlik şirketi Nudge Security’nin CTO’su Jamie Blasco, çözümlenen ek alanlar belirlendi Cyberhaven ihlali için kullanılan C&C sunucusunun aynı IP adresine.

Şu anda güvenliğinin ihlal edildiğinden şüphelenilen ek tarayıcı uzantıları şunları içerir:

• AI Asistanı – Chrome için ChatGPT ve Gemini
• Bard AI Sohbet Uzantısı
• OpenAI ile GPT 4 Özeti
• Chrome için Copilot AI Assistant’ı arayın
• TinaMInd Yapay Zeka Asistanı
• Wayin AI
• VPNŞehir
• Internxt VPN’i
• Vindoz Flex Video Kaydedici
• VidHelper Video İndirici
• Favori Simgesi Değiştirici
• Kastorus
• Uses
• Okuyucu Modu
• Papağan Konuşmaları
• primus

Güvenliği ihlal edilen bu ek uzantılar, Cyberhaven’ın tek seferlik bir hedef olmadığını, meşru tarayıcı uzantılarını hedef alan geniş ölçekli bir saldırı kampanyasının parçası olduğunu gösteriyor.

Güvenliği ihlal edilen Cyberhaven’ın analizi, kötü amaçlı kodun Facebook hesaplarının, özellikle de Facebook işletme hesaplarının kimlik verilerini ve erişim belirteçlerini hedef aldığını gösteriyor:

Güvenliği ihlal edilmiş Cyberhaven tarayıcı uzantısı tarafından toplanan kullanıcı verileri (kaynak: Cyberhaven)

Cyberhaven, tarayıcı uzantısının kötü amaçlı sürümünün yayına girdikten yaklaşık 24 saat sonra kaldırıldığını söylüyor. Açığa çıkan diğer uzantılardan bazıları da zaten güncellenmiş veya Chrome Web Mağazası’ndan kaldırılmıştır.

Ancak Or Eshed, uzantının Chrome mağazasından kaldırılmasının yayının sona erdiği anlamına gelmediğini söylüyor. “Uzantının güvenliği ihlal edilmiş sürümü uç noktada hâlâ yayında olduğu sürece, bilgisayar korsanları ona erişmeye ve verileri dışarı sızdırmaya devam edebilir” diyor.

Güvenlik araştırmacıları, açığa çıkan ek uzantılar aramaya devam ediyor, ancak bu saldırı kampanyasının karmaşıklığı ve kapsamı, birçok kuruluşun tarayıcı uzantılarını güvence altına alma şansını artırdı.

Koreli haber kuruluşu JTBC yakın zamanda bir araştırma aracılığıyla keşfedildi. derinlemesine soruşturma Güney Kore’nin en büyük telekom sağlayıcılarından biri olan KT Corporation’ın, torrent hizmetlerini kullanmaları nedeniyle 600.000’den fazla kullanıcıya kasıtlı olarak kötü amaçlı yazılım bulaştırdığı ortaya çıktı.

Sorun, Mayıs 2020’de Koreli bulut hizmet sağlayıcısı Webhard’ın açıklanamayan hatalarla ilgili kullanıcı şikayetleriyle dolup taşmasıyla başladı. Şirket, BitTorrent eşler arası dosya paylaşımına dayanan Grid Programının tehlikeye atıldığını keşfetti. Webhard’ın isimsiz bir temsilcisi şunları söyledi: “Şebeke hizmetimize yönelik bir bilgisayar korsanlığı saldırısı şüphesi var. Çok kötü niyetli, buna müdahale ediyor.”

Şirket, daha detaylı bir inceleme sonucunda etkilenen tüm kullanıcıların internet servis sağlayıcısının KT olduğunu belirtti. Temsilci, “Sadece KT kullanıcılarında sorun var. Kötü amaçlı yazılımın kullanıcının bilgisayarında yaptığı şey, garip klasörler oluşturmak veya dosyaları görünmez hale getirmek. Webhard programının kendisini tamamen devre dışı bırakıyor. Bazı durumlarda, bilgisayarın kendisi de bu nedenle devre dışı kalıyordu, bu yüzden bildirdik.” diye ekledi.

Neyin ilgi çekici olduğunu görmek için Steam’de en çok oynanan oyunlara düzenli olarak göz atıyorsanız, “Banana” adında tuhaf bir aykırılık fark etmiş olabilirsiniz. Ve bunu bildirmek için buradayım Kesinlikle tenekenin üzerinde ne yazıyor?

“Banana” bu hafta Steam listelerinde yükselişe geçti ve Cumartesi günü 660.000 eş zamanlı oyuncuya ulaşarak zirveye ulaştı. SteamDB gösterir. Bu tüm zamanların en yüksek seviyesi, ancak Cuma günkü 155.000 eş zamanlı oyuncu rekorunun üzerine çıkarak şu anda bile 600 bin civarında seyrediyor.

31 Mayıs 2024Haber odasıAğ Güvenliği / Siber Saldırı

600.000’den fazla küçük ofis/ev ofisi (SOHO) yönlendiricisinin, kimliği belirsiz siber aktörler tarafından düzenlenen ve kullanıcıların internete erişimini engelleyen yıkıcı bir siber saldırının ardından tuğlalandığı ve çevrimdışına alındığı tahmin ediliyor.

25-27 Ekim 2023 tarihleri ​​arasında gerçekleşen ve ABD’deki tek bir internet servis sağlayıcısını (ISP) etkileyen gizemli olaya kod adı verildi. Balkabağı Tutulması Lumen Technologies Black Lotus Labs ekibi tarafından. Özellikle ISP tarafından yayınlanan üç yönlendirici modelini etkiledi: ActionTec T3200, ActionTec T3260 ve Sagemcom.

Şirket, “Olayın 25-27 Ekim tarihleri ​​arasında 72 saatlik bir süre içinde meydana geldiğini, virüslü cihazları kalıcı olarak çalışmaz hale getirdiğini ve donanım tabanlı bir değişim gerektirdiğini” belirtti. söz konusu teknik bir raporda.

Kesinti önemlidir; özellikle de zaman dilimi içinde tüm modemlerin %49’unun etkilenen ISP’nin otonom sistem numarasından (ASN) aniden kaldırılmasına yol açması nedeniyle.

ISP’nin adı açıklanmasa da kanıtlar onun Windstream olduğunu ve aynı dönemde kesinti yaşadığını gösteriyor. kullanıcılar ile rapor Etkilenen modemler tarafından “sabit kırmızı ışık” görüntüleniyor.

Şimdi, aylar sonra, Lumen’in analizi, adı verilen bir uzaktan erişim trojanını (RAT) ortaya çıkardı. Chalubo – ilk kez Ekim 2018’de Sophos tarafından belgelenen gizli bir kötü amaçlı yazılım – sabotajın sorumlusu olarak, düşman muhtemelen özel bir araç seti kullanmak yerine ilişkilendirme çabalarını karmaşıklaştırma çabasıyla bunu tercih etti.

Şirket, “Chalubo, tüm önemli SOHO/IoT çekirdekleri için tasarlanmış yüklere, DDoS saldırılarını gerçekleştirmek için önceden oluşturulmuş işlevselliğe sahip ve bota gönderilen herhangi bir Lua komut dosyasını çalıştırabiliyor” dedi. “Lua işlevinin kötü niyetli aktör tarafından yıkıcı yükü geri almak için kullanıldığından şüpheleniyoruz.”

Bununla birlikte, yönlendiricileri ihlal etmek için kullanılan tam başlangıç ​​erişim yöntemi şu anda belirsiz olsa da, zayıf kimlik bilgilerinin kötüye kullanılması veya açıkta kalan bir yönetim arayüzünden yararlanılmış olabileceği teorik olarak öne sürülüyor.

Başarılı bir tutunma noktası elde ettikten sonra enfeksiyon zinciri, Chalubo’yu harici bir sunucudan alıp başlatmak üzere tasarlanmış bir yükleyicinin yolunu açan kabuk komut dosyalarını bırakmaya devam ediyor. Truva atının getirdiği yıkıcı Lua komut dosyası modülü bilinmiyor.

Kampanyanın dikkate değer bir yönü, tipik olarak belirli bir yönlendirici modelini veya ortak güvenlik açığını hedef alan diğerlerinin aksine, tek bir ASN’yi hedeflemesidir; bu da bunun arkasındaki motivasyonlar henüz belirlenmemiş olsa da, kasıtlı olarak hedef alınma olasılığını artırmaktadır.

Lumen, “Etkilenen birimlerin sayısı nedeniyle olay benzeri görülmemiş bir olaydı; hatırlayabildiğimiz hiçbir saldırı 600.000’den fazla cihazın değiştirilmesini gerektirmedi” dedi. “Ayrıca, bu tür bir saldırı daha önce yalnızca bir kez gerçekleşti; acidRain, aktif bir askeri istilanın habercisi olarak kullanıldı.”