Tehlikeli tarayıcı uzantıları

Kötü amaçlı uzantılar nasıl kripto para çalıyor, oyunlarda ve sosyal ağlarda hesapları ele geçiriyor, arama sonuçlarını manipüle ediyor ve izinsiz reklamlar gösteriyor.

Bu blog sayfalarında sık sık tarayıcı uzantılarının ne kadar tehlikeli olabileceği hakkında yazıyoruz. Bu gerçeği göstermek için bir makaleyi bu konuya ayırmaya karar verdik. Bu yazıda, 2023 yılında kötü amaçlı uzantıları içeren en ilginç, olağan dışı, yaygın ve tehlikeli vakalara bakacağız. Ayrıca bu uzantıların neler yapabileceğini ve elbette kendinizi bunlardan nasıl koruyabileceğinizi de tartışacağız.

Arka kapılı Roblox uzantıları

Konunun gidişatını belirlemek ve tehlikeli uzantılarla ilgili en büyük endişelerden birini vurgulamak için, geçen yıl başlayan bir hikayeyle başlayalım. Kasım 2022’de, Google Chrome tarayıcı uzantıları için resmi mağaza olan Chrome Web Mağazası’nda aynı adı taşıyan iki kötü amaçlı uzantı (SearchBlox) keşfedildi. Bu uzantılardan biri 200.000’den fazla indirme almıştı.

Uzantıların beyan edilen amacı Roblox sunucularında belirli bir oyuncuyu aramaktı. Ancak asıl amaçları Roblox oyuncularının hesaplarını ele geçirmek ve oyun içi varlıklarını çalmaktı. Bu zararlı uzantılar hakkındaki bilgiler BleepingComputer’da yayınlandıktan sonra Chrome Web Mağazası’ndan kaldırıldı ve bunları yükleyen kullanıcıların cihazlarından otomatik olarak silindi.

SearchBlox: Chrome Web Mağazasında arka kapıya sahip kötü amaçlı tarayıcı uzantıları

Google Chrome Web Mağazası’nda yayınlanan kötü amaçlı SearchBlox uzantıları, Roblox oyuncularının hesaplarını ele geçirdi. Kaynak

Ancak Roblox’un hikayesi burada bitmiyor. Ağustos 2023’te Chrome Web Mağazası’nda RoFinder ve RoTracker adlı benzer nitelikte iki kötü amaçlı uzantı daha keşfedildi. Tıpkı SearchBlox gibi, bu eklentiler de kullanıcılara Roblox sunucularındaki diğer oyuncuları arama olanağı sunuyordu, ancak gerçekte bunların içine yerleştirilmiş bir arka kapı vardı. Roblox kullanıcı topluluğu sonunda bu uzantıları da mağazadan kaldırtmayı başardı.

RoTracker: arka kapıya sahip başka bir kötü amaçlı tarayıcı uzantısı

RoTracker kötü amaçlı uzantısı da Google Chrome Web Mağazası’nda yer alıyor. Kaynak

Bu durum, Google Chrome uzantılarının indirilmesi için dünyanın en resmi platformundaki denetim kalitesinin arzulanan düzeyde olmadığını ve kötü niyetli uzantıların yaratıcıları için eserlerini buraya yerleştirmenin yeterince kolay olduğunu gösteriyor. Moderatörlerin tehlikeli uzantıları tespit etmesini ve mağazadan kaldırmasını sağlamak için, etkilenen kullanıcıların yorumları genellikle yeterli değildir. Çoğu zaman medyanın, güvenlik araştırmacılarının ve/veya büyük bir çevrimiçi topluluğun çabaları gerekir.

Sahte ChatGPT uzantıları Facebook hesaplarını ele geçiriyor

Mart 2023’te, Google Chrome Web Mağazasında birkaç gün arayla iki kötü amaçlı uzantı keşfedildi, her ikisi de ChatGPT AI hizmeti etrafında oluşan heyecandan yararlanıyordu. Bunlardan biri, ChatGPT’nin yanıtlarının arama motoru sonuçlarına entegre edilmesini sağlayan yasal “ChatGPT for Google” uzantısının virüslü bir kopyasıydı.

Virüs bulaşmış “ChatGPT for Google” uzantısı 14 Şubat 2023 tarihinde Chrome Web Mağazasına yüklendi. Yaratıcıları bir süre bekledi ama tam bir ay sonra, 14 Mart 2023’te Google Arama reklamlarını kullanarak aktif bir şekilde yaymaya başladılar. Suçlular tehdit keşfedildiğinde günde yaklaşık bin yeni kullanıcı çekmeyi başarmış ve sonuç olarak 9000’den fazla indirme gerçekleşmiştir.

ChatGPT for Google uzantısının virüslü sürümü

“ChatGPT for Google”ın virüslü versiyonu tıpkı gerçeğine benziyordu. Kaynak

“ChatGPT for Google” ın truva atı haline getirilmiş kopyası aynı gerçek versiyon gibi çalışıyordu, ancak ilave kötü niyetli işlevlere sahipti: virüslü versiyon, tarayıcı tarafından saklanan Facebook oturum çerezlerini çalmak için tasarlanmış ekstra kod içeriyordu. Saldırganlar bu dosyaları kullanarak, virüslü uzantıyı yükleyen kullanıcıların Facebook hesaplarını ele geçirmeyi başardılar.

Ele geçirilen hesaplar daha sonra yasa dışı amaçlar için kullanılabilir. Araştırmacılar örnek olarak, ele geçirilmesinin ardından IŞİD içeriğini tanıtmaya başlayan bir mobil ev üreticisine ait bir Facebook hesabından bahsetti.

IŞİD içeriğini tanıtan ele geçirilmiş Facebook hesabı

Facebook hesabı ele geçirildikten sonra IŞİD içeriğini tanıtmaya başladı. Kaynak

Başka bir vakada, dolandırıcılar “Quick access to Chat GPT” adında tamamen orijinal bir uzantı oluşturdular. Aslında, uzantı söz verdiği şeyi yaptı ve AI hizmetinin resmi API’sini kullanarak kullanıcılar ve ChatGPT arasında bir aracı görevi gördü. Ancak, asıl amacı yine Facebook oturum çerezlerini çalmak ve uzantının yaratıcılarının Facebook işletme hesaplarını ele geçirmesine imkan vermekti.

Chat GPT kötü amaçlı uzantısına hızlı erişim

“Quick access to Chat GPT” kötü amaçlı uzantısı. Kaynak

Daha da ilginci, bu kötü niyetli uzantıyı tanıtmak için failler Facebook reklamlarını kullandılar ve bu reklamların ödemesi – tahmin ettiğiniz gibi – zaten ele geçirdikleri işletme hesapları tarafından yapıldı! Bu kurnaz plan, “Quick access to Chat GPT” nin yaratıcılarının günde birkaç bin yeni kullanıcı çekmesini sağladı. Sonunda her iki kötü amaçlı uzantı da mağazadan kaldırıldı.

ChromeLoader: Kötü amaçlı uzantılar içeren korsan içerik

Genellikle, kötü amaçlı uzantıların yaratıcıları bunları Google Chrome Web Mağazası’na yerleştirmez ve başka yollarla dağıtır. Örneğin, bu yılın başlarında araştırmacılar, siber güvenlik alanında zaten iyi bilinen ChromeLoader kötü amaçlı yazılımıyla ilgili yeni bir kötü amaçlı kampanyanın farkına vardılar. Bu Truva atının öncelikli amacı kurbanın tarayıcısına kötü niyetli bir uzantı yüklemektir.

Bu uzantı da tarayıcıda rahatsız edici reklamlar görüntüler ve arama sonuçlarını sahte çekilişler, anketler, arkadaşlık siteleri, yetişkin oyunları, istenmeyen yazılımlar ve benzerlerine yönlendiren bağlantılarla bozar.

Bu yıl, saldırganlar kurbanlarına ChromeLoader’ı yükletmek için yem olarak çeşitli korsan içerikler kullandılar. Örneğin, Şubat 2023‘te araştırmacılar ChromeLoader’ın hacklenmiş oyunlar veya oyun kırılmış versiyonları olarak gizlenmiş VHD dosyaları (bir disk imaj formatı) aracılığıyla yayıldığını bildirmiştir. Dağıtımcıların kullandığı oyunlar arasında Elden Ring, ROBLOX, Dark Souls 3, Red Dead Redemption 2, Need for Speed, Call of Duty, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart, Animal Crossing ve daha fazlası yer alıyordu. Tahmin edebileceğiniz gibi, tüm bu VHD dosyaları kötü amaçlı uzantı yükleyiciyi içeriyordu.

Birkaç ay sonra, Haziran 2023‘te, başka bir grup araştırmacı yine aynı ChromeLoader’ın aktiviteleri hakkında ayrıntılı bir rapor yayınladı ve korsan müzik, film ve bir kez daha bilgisayar oyunları sunan bir site ağı aracılığıyla nasıl yayıldığını ayrıntılarıyla ortaya koydu. Bu kampanyada, orijinal içerik yerine, kurbanların bilgisayarlarına VBScript dosyaları indirilmiş ve bu dosyalar daha sonra kötü amaçlı tarayıcı uzantısını yükleyip kurmuştur.

ChromeLoader kötü amaçlı yazılımı, kötü amaçlı bir tarayıcı uzantısı yüklüyor

Korsan içerik sunma kisvesi altında ChromeLoader kötü amaçlı yazılımını dağıtan sitelerden biri. Kaynak

Değiştirilen arama sonuçlarının kurbanları tarayıcılarındaki tehlikeli uzantının varlığı konusunda hızlı bir şekilde uyarmasına rağmen, bundan kurtulmak o kadar kolay değil. ChromeLoader yalnızca kötü amaçlı uzantıyı yüklemekle kalmaz, aynı zamanda sisteme, sistem her yeniden başlatıldığında uzantıyı yeniden yükleyen komut dosyaları ve Windows Görev Zamanlayıcı görevleri de ekliyor.

Bilgisayar korsanları bir casus uzantısı kullanarak Gmail yazışmalarını okuyor

Mart 2023’te Alman Federal Anayasayı Koruma Dairesi ve Güney Kore Ulusal İstihbarat Teşkilatı, Kimsuky siber suç grubunun faaliyetleri hakkında ortak bir rapor yayınladı. Bu grup, kurbanlarının Gmail yazışmalarını okumak için Chromium tabanlı tarayıcılar (Google Chrome, Microsoft Edge ve Güney Kore tarayıcısı Naver Whale) için virüslü bir uzantı kullanmaktadır.

Saldırı, faillerin belirli kişilere e-posta göndermesiyle başlar. E-posta, mağduru uzantıyı yüklemeye ikna eden bazı metinlerle birlikte AF adlı kötü amaçlı bir uzantının bağlantısına yer veriyor. Uzantı, mağdur yüklendiği tarayıcıda Gmail’i açtığında çalışmaya başlar. AF daha sonra mağdurun yazışmalarını otomatik olarak bilgisayar korsanlarının C2 sunucusuna gönderir.

Böylece Kimsuky, mağdurun posta kutusunun içeriğine erişmeyi başarır. Dahası, bu posta kutusuna girmek için herhangi bir hileye başvurmaları gerekmez; sadece iki faktörlü kimlik doğrulamayı atlamaları yeterlidir. Ayrıca bu yöntem, her şeyi son derece gizli bir şekilde yapar. Bilhassa Google’ın, parolanın çalınması durumunda olabileceği gibi, yeni bir cihazdan veya şüpheli bir konumdan hesaba erişim konusunda kurbana uyarı göndermesini önler.

Rilide: kripto para çalan ve iki faktörlü kimlik doğrulamayı atlayan kötü amaçlı uzantı

Suçlular ayrıca kripto para cüzdanlarını hedef almak için genellikle kötü amaçlı uzantılar kullanmaktadır. Özellikle, ilk olarak Nisan 2023‘te keşfedilen Rilide uzantısının yaratıcıları, uzantıyı kullanıcıların kripto para birimiyle ilgili tarayıcı etkinliklerini izlemek için kullanıyor. Mağdur belirli bir listedeki siteleri ziyaret ettiğinde, kötü amaçlı uzantı kripto para cüzdanı bilgilerini, e-posta girişlerini ve parolaları çalar.

Ayrıca, bu uzantı tarayıcı geçmişini toplayarak C2 sunucusuna gönderir ve saldırganların ekran görüntüsü almasını sağlar. Ancak Rilide’ın en ilginç özelliği iki faktörlü kimlik doğrulamayı atlayabilmesi.

Uzantı, bir kullanıcının çevrimiçi hizmetlerden birinde bir kripto para birimi işlemi yapmak üzere olduğunu tespit ettiğinde, sayfaya onay kodu giriş iletişim kutusunun yerini alan bir komut dosyası yerleştirir ve ardından bu kodu çalar. Ödeme alıcısının cüzdanı saldırganlara ait bir cüzdanla değiştirilir ve son olarak uzantı çalınan kodu kullanarak işlemi onaylar.

Rilide'ın blockchain oyunu maskesi altında tanıtımı

Kötü niyetli Rilide uzantısı, blok zinciri oyunları maskesi altında X’te (Twitter) nasıl tanıtıldı? Kaynak

Rilide, şüphe çekmemek için gerçek bir Google Drive uzantısını taklit ederek Chrome, Edge, Brave ve Opera gibi Chromium tabanlı tarayıcı kullanıcılarına saldırıyor. Rilide karaborsada serbestçe satılıyor gibi görünüyor, bu nedenle birbirleriyle ilgisi olmayan suçlular tarafından kullanılıyor. Bu nedenle, kötü amaçlı web siteleri ve e-postalardan X’te tanıtılan virüslü blok zinciri oyun yükleyicilerine kadar çeşitli dağıtım yöntemleri keşfedilmiştir.

Özellikle ilgi çekici Rilide dağıtım yöntemlerinden biri de aldatıcı bir PowerPoint sunumuydu. Bu sunum Zendesk çalışanları için bir güvenlik rehberiymiş gibi görünse de aslında kötü amaçlı uzantıyı yüklemek için hazırlanmış adım adım bir kılavuzdu.

Bir siber güvenlik sunumu olarak gizlenmiş Rilide kurulum kılavuzu

Zendesk çalışanları için bir güvenlik sunumu olarak gizlenmiş kötü amaçlı uzantıyı yüklemek için adım adım bir kılavuz. Kaynak

Chrome Web Mağazası’nda düzinelerce kötü amaçlı uzantı bulunuyor – bunların toplam indirilme sayısı 87 milyon

Tabii ki araştırmacıların Google Chrome Web Mağazası’nda topluca 87 milyondan fazla indirilen birkaç düzine kötü niyetli uzantı keşfettikleri yaz hikayesini de unutmamak gerekir. Bunlar, PDF dosyalarını dönüştürme araçlarından reklam engelleyicilere, çeviri araçlarından VPN’lere kadar çeşitli tarayıcı eklentileriydi.

Uzantılar Chrome Web Mağazası’na 2022 ve 2021 yıllarında eklenmişti, yani keşfedildiklerinde zaten birkaç ay, bir yıl veya daha uzun süredir oradaydılar. Uzantılarla ilgili incelemeler arasında, dikkatli kullanıcılardan uzantıların arama sonuçlarını reklamlarla değiştirdiğini bildiren bazı şikayetler vardı. Ne yazık ki Chrome Web Mağazası moderatörleri bu şikayetleri görmezden geldi. Zararlı uzantılar ancak iki grup güvenlik araştırmacısının sorunu Google’ın dikkatine sunmasının ardından mağazadan kaldırıldı.

Google Chrome Web Mağazası'nda YouTube için kötü amaçlı Autoskip uzantısı

Kötü amaçlı uzantıların en popüleri olan YouTubeiçin Autoskip , Google Chrome Web Store’dan dokuz milyondan fazla indirilmiştir. Kaynak

Kendinizi kötü amaçlı uzantılardan nasıl koruyabilirsiniz?

Gördüğünüz gibi, tehlikeli tarayıcı uzantıları, resmi Google Chrome Web Mağazası da dahil olmak üzere çeşitli kaynaklardan bilgisayarınıza yüklenebilir. Saldırganlar bunları hesapları ele geçirmekten arama sonuçlarını değiştirmeye, yazışmaları okumaya ve kripto para çalmaya kadar çok çeşitli amaçlarla kullanabilir. Bu nedenle, önlem almak önemlidir:

  • Gereksiz tarayıcı uzantıları yüklemekten kaçının. Tarayıcınızda ne kadar az uzantı varsa o kadar iyidir.
  • Bir uzantı yüklerseniz, onu bilinmeyen bir web sitesinden yüklemek yerine resmi bir mağazadan yüklemek daha iyidir. Elbette bu, tehlikeli uzantılarla karşılaşma riskini tamamen ortadan kaldırmıyor, ancak en azından Google Chrome Web Mağazası güvenliği önemsiyor.
  • Yüklemeden önce bir uzantının incelemelerini okuyun. Eğer bir sorun varsa, birileri bunu çoktan fark etmiş ve diğer kullanıcıları bilgilendirmiş olabilir.
  • Tarayıcılarınızda yüklü uzantıların listesini düzenli olarak gözden geçirin. Kullanmadıklarınızı kaldırın, özellikle de yüklediğinizi hatırlamadığınız uzantıları.
  • Ve tüm cihazlarınızda güvenilir koruma kullandığınızdan emin olun.
İpuçları
Başlıklarımızı gelen kutunuza almak için kaydolun
  • Diğer tüm ülkeler için