uzantılar

Tarayıcı uzantıları: sandığınızdan daha tehlikeli

En yaygın kötü amaçlı uzantı ailelerini örneklendirerek, bir tarayıcı eklentisi yükledikten sonra nelerin yanlış gidebileceğini açıklıyoruz.

Anastasia Starikova
Eylül 13, 2022

Muhtemelen hepimiz en az bir kez bir tarayıcı uzantısı yükledik: reklam engelleyici, online çeviri uygulaması, yazım denetimcisi ya da başka bir şey. Ancak, pek azımız durup düşünüyor: Güvenli mi? Maalesef, ilk bakışta zararsız bu mini uygulamalar göründüğünden çok daha tehlikeli olabilir. Bakalım neler ters gidebilir? Bunun için, uzmanlarımızın en yaygın kötü amaçlı tarayıcı uzantı aileleri hakkında hazırladıkları en son raporda yer alan verileri kullanacağız.

Uzantılar nelerdir ve ne işe yararlar?

Tanımla başlayalım ve sorunun köküne inelim. Tarayıcı uzantısı, tarayıcınıza özellik ekleyen bir eklentidir. İnternet sayfalarındaki reklamları engelleyebilir, notlar alabilir, yazdıklarınızı denetleyebilir ve çok daha fazlasını yapabilirler. Popüler tarayıcılarda, istediğiniz eklentileri seçmenizi, karşılaştırmanızı ve yüklemenizi sağlayan resmi uzantı mağazaları bulunur. Ancak uzantıları resmi olmayan kaynaklardan da yüklemek mümkün.

Bir uzantı tarayıcıda görüntülediğiniz internet sayfalarının içeriğini okuma ve değiştirme iznine ihtiyaç verdiğiniz sürece görevini yerine getirebilir. Bu erişim iznini vermezseniz, muhtemelen işe yaramayacak.

Google Chrome söz konusuysa, uzantılar, ziyaret ettiğiniz internet sitelerindeki tüm verilerinizi okuma ve değiştirmek için tüm izinlere ihtiyaç duyar. Önemli bir şey gibi görünüyor, değil mi? Ancak, resmi mağazalar bile bu konuya çok az dikkat çekiyor.

Örneğin, resmi Chrome Web Mağazası’nda, popüler Google Çeviri uzantısının Gizlilik uygulamaları kısmı, konum, kullanıcı etkinliği ve internet sitesi içeriği hakkında bilgi topladığını belirtiyor. Ancak, uzantıyı yükleyene kadar kullanıcıya, uzantının çalışması için internet sitelerindeki tüm verilere erişmesi gerektiği açıklanmaz.

Google Çeviri uzantısı, ziyaret ettiğiniz “tüm internet sitelerindeki tüm verilerinizi okumak ve değiştirmek” için izin ister

Birçok kullanıcı bu bildirimi okumaz bile ve eklentiyi hemen kullanmaya başlamak için otomatik olarak Uzantı ekle seçeneğine tıklar. Bunların her biri, siber suçluların zararsız uzantılar bahanesini kullanarak reklam yazılımları ve hatta kötü amaçlı yazılımları yayması için bir fırsat.

Reklam yazılımı uzantılarının sahip olduğu görüntülenen içeriği değiştirme hakkı ise, uzantıların ziyaret ettiğiniz sitelerde reklam göstermelerini sağlıyor. Böylece, uzantı oluşturan kişiler, reklamverenlerin internet sitelerindeki affiliate bağlantılara tıklayan kullanıcılar üzerinden para kazanıyor. Daha iyi hedeflenmiş reklam içeriği elde etmek için, arama geçmişinizi ve diğer verileri de analiz edebilirler.

Kötü amaçlı uzantılar söz konusu olduğunda işler daha da kötüleşiyor. Ziyaret edilen tüm internet sitelerinin içeriğine erişebilen bir saldırgan, kart bilgilerini, çerezleri ve diğer hassas bilgileri çalabilir. Birkaç örneğe bakalım.

Office dosyaları için rogue araçlar

Son yıllarda, siber suçlular kötü amaçlı WebSearch reklam yazılımı uzantılarını yayıyor. Websearch üyeleri, genellikle Office dosyaları için kullanılan araçlara gizleniyor: Word’den PDF’ye dönüştürme gibi.

Hatta birçoğu, belirttiği işlevleri yerine getiriyor. Ancak kurulumdan sonra, normal tarayıcı ana sayfasını, arama çubuğu olan bir mini site ve AliExpress veya Farfetch gibi üçüncü taraf kaynaklarca izlenen affiliate bağlantılar ile değiştiriyorlar.

WebSearch ailesindeki uzantılardan birini indirdikten sonra tarayıcı ana sayfası

Uzantı yüklendikten sonra varsayılan arama motorunu search.myway olarak değiştiriyor. Bu durum, siber suçluların kullanıcı aramalarını kaydedip analiz etmesini ve onlara ilgi alanlarına göre daha alakalı bağlantılar sunmasını sağlıyor.

WebSearch uzantıları artık resmi Chrome mağazasında mevcut değil. Ancak, üçüncü taraf kaynaklardan indirmek mümkün.

Sizi rahat bırakmayacak reklam yazılımı eklentisi

Bir başka yaygın reklam yazılımı uzantıları ailesi olan DealPly uzantıları, genellikle şüpheli sitelerden indirilen korsan içerik sayesinde insanların bilgisayarlarına sızıyor. WebSearch eklentileriyle hemen hemen aynı şekilde çalışıyor.

DealPly uzantıları da, tarayıcı ana sayfasını popüler dijital platformların affiliate bağlantılarına sahip bir mini siteyle değiştiriyor. Tıpkı kötü amaçlı WebSearch uzantıları gibi, varsayılan arama motorunun yerine geçip daha kişisel reklamlar oluşturmak için kullanıcı aramalarını analiz ediyorlar.

DealPly ailesindeki uzantılardan birini indirdikten sonra tarayıcı ana sayfası

Üstelik, DealPly üyelerinden kurtulmak oldukça zor. Kullanıcı reklam yazılımı uzantısını kaldırsa bile, tarayıcı her açıldığında uzantı, kullanıcı cihazına yeniden yükleniyor.

AddScript istenmeyen çerezleri yayıyor<

AddScript ailesi uzantıları, sosyal ağlardan veya proxy sunucu yöneticilerinden müzik ve video indirmek için kullanılan araçlar gibi görünür. Ancak, bu işlevlerinin yanı sıra, kurbanın cihazına kötü amaçlı kod bulaştırırlar. Saldırganlar bu kodu, kullanıcı fark etmeden videoları arka planda izlemek ve görüntüleme sayısını artırarak para kazanmak için kullanır.

Siber suçlular için başka bir gelir kaynağı da kurbanın cihazına çerez indirmek. Çerezler genellikle kullanıcı bir internet sitesini ziyaret ettiğinde cihazında saklanır ve bir tür dijital işaretleyici olarak kullanılabilir. Affiliate siteler normalde, müşterileri meşru bir siteye yönlendirmeyi taahhüt eder. Yine normal bir durumda bunu da, ilginç veya faydalı içerik aracılığıyla kullanıcıları kendi sitelerine çekerek yaparlar. Daha sonra, kullanıcının bilgisayarında bir çerez saklar ve bir bağlantı ile hedef siteye yönlendirirler. Bu çerezi kullanarak site, yeni müşterinin nereden geldiğini anlar ve bazen yönlendirmenin kendisi, bazen bir satın alma yüzdesi ve bazen de kayıt gibi belirli bir işlem için iş ortağına bir ödeme yapar.

AddScript öperatörleri, bu planı kötüye kullanmak için kötü amaçlı bir uzantı kullanır. İş ortaklarına gerçek internet sitesi ziyaretçilerini göndermek yerine, virüslü cihazlara birden çok çerez indirirler. Bu çerezler de, dolandırıcıların iş ortağı programı için ayırt edici rolündedir ve AddScript operatörleri bunun karşılığında ücret alır. Yani işin aslı, hiç yeni müşteri çekmiyorlar ve “iş ortağı” faaliyetleri, bilgisayarlara bu kötü amaçlı uzantıları bulaştırmaktan oluşuyor.

FB Stealer — bir çerez hırsızı

Başka bir kötü amaçlı uzantı ailesi olan FB Stealer’in çalışma şekli farklı. AddScript’in aksine, bu ailenin üyeleri cihaza “ekstralar” indirmez, ancak önemli çerezleri çalar. İşte şöyle çalışıyorlar:

FB Stealer uzantısı, kurbanların genellikle hacklenmiş bir yazılım yükleyicisini indirmeye çalışırken yanında gelen NullMixer Truva Atı ile kullanıcıların cihazlarına sızıyor. Yüklendikten sonra Truva Atı, uzantılar hakkındaki bilgiler ile birlikte Chrome tarayıcı ayarlarını depolamak için kullanılan dosyayı değiştiriyor.

Aktivasyondan sonra FB Stealer, kullanıcıların tedbiri elden bırakmaları için Google Çeviri uzantısı gibi davranıyor. Uzantı oldukça inandırıcı görünüyor. Tarayıcının resmi mağazanın bu konuda hiçbir bilgi içermediğine dair uyarı yapması, saldırganların tek dezavantajı.

Resmi mağazanın uzantı hakkında bilgi içermediğine dair tarayıcı uyarısı

Bu ailenin üyeleri de tarayıcının varsayılan arama motorunun yerine geçiyor, ancak bu uzantıların en tatsız özelliği bu değil. FB Stealer’ın temel işlevi, dünyanın en büyük sosyal ağının kullanıcılarının oturum çerezlerini çalmak. Adı her şeyi belli ediyor. Bu çerezler, siteyi her ziyaret ettiğinizde oturum açmayı atlamanıza izin veren çerezlerle aynı çerezlerdir. Ayrıca saldırganların parola olmadan giriş yapmasını sağlarlar. Hesabı bu yolla ele geçirdikten sonra, kurbanın arkadaşlarına ve akrabalarına mesaj göndererek para isteyebilirler.

Kendinizi korumanın yolları

Tarayıcı uzantıları işinize yarayan faydalı araçlardır. Ancak önemli olan, dikkatli davranmak ve göründükleri kadar zararsız olmadıklarını anlamak. Bu nedenle, önerimiz aşağıdaki güvenlik önlemlerini dikkate almanız:

Uzantıları yalnızca resmi kaynaklardan indirin. Bunun sıkı bir güvenlik önlemi olmadığını aklınızdan çıkarmayın. Kötü amaçlı uzantılar, bir yolunu bulup resmi mağazalara sızarlar. Ancak resmi platformlar kullanıcı güvenliğini önemser ve kötü amaçlı uzantıları kaldırmayı başarır.
Çok fazla uzantı yüklemeyin ve listeyi düzenli olarak kontrol edin. Kendiniz yüklemediğiniz bir şey görürseniz, bu tehlike çanları çalıyor anlamına gelir.
Güvenilir bir güvenlik çözümü kullanın.

Zoom’da bir güvenlik açığı ve hackerlar ile geliştiriciler arasındaki savaş

DEF CON 30 çıkarımları: macOS için Zoom’da güvenlik açığı

Gizlilik ve Çocuklar

Hedeflenen Güvenlik Çözümleri

Tarayıcı uzantıları: sandığınızdan daha tehlikeli

Uzantılar nelerdir ve ne işe yararlar?

Office dosyaları için rogue araçlar

Sizi rahat bırakmayacak reklam yazılımı eklentisi

AddScript istenmeyen çerezleri yayıyor<

FB Stealer — bir çerez hırsızı

Kendinizi korumanın yolları

Tehlikeli tarayıcı uzantıları

Chrome uzantıları, reklam yazılımlarıyla milyonlarca kişiyi suistimal ediyor

Zoom’da bir güvenlik açığı ve hackerlar ile geliştiriciler arasındaki savaş

İpuçları

Akılcı bir yol: çocuklarınızın ilk cihazı için ebeveyn rehberi

Çocukların ilk cihazı için ebeveyn kontrol listesi

Kaspersky’ye geçiş: adım adım geçiş kılavuzu

Patron mu, dolandırıcı mı? Patronunuzdan gelen emirler gibi gösterilen dolandırıcılık

Başlıklarımızı gelen kutunuza almak için kaydolun

Ev Çözümleri

Küçük Ölçekli İşletme Ürünleri

Orta Ölçekli İşletme Ürünleri

Kurumsal Çözümler

Securelist

Eugene Personal Blog