Bilinmeyen bir tehdit aktörü, Şubat 2024’ten bu yana zararsız gibi görünen ancak gizli işlevler barındıran birçok kötü amaçlı Chrome tarayıcı eklentisi oluşturmakla ilişkilendirildi. Bu eklentiler veri sızdırma, komut alma ve keyfi kod çalıştırma yeteneklerine sahip.
DomainTools Intelligence (DTI) ekibi, The Hacker News ile paylaştığı raporda şunları söyledi:
“Tehdit aktörü, yasal hizmetler, üretkenlik araçları, reklam ve medya oluşturma ya da analiz asistanları, VPN hizmetleri, kripto ve bankacılık gibi görünümlerle sahte web siteleri oluşturuyor. Bu siteler, kullanıcılara sahte Chrome eklentilerini yüklemeleri için yönlendirme yapıyor.”
Tarayıcı eklentileri, vaat ettikleri işlevleri sunuyormuş gibi görünse de, aslında kimlik bilgileri ve çerez hırsızlığı, oturum ele geçirme, reklam enjeksiyonu, kötü amaçlı yönlendirme, trafik manipülasyonu ve DOM manipülasyonu yoluyla yapılan oltalama (phishing) gibi faaliyetleri mümkün kılıyor.
Bu sahte eklentiler, manifest.json dosyası aracılığıyla kendilerine aşırı yetkiler tanımlıyor. Bu sayede, tarayıcıda ziyaret edilen tüm sitelerle etkileşime girme, saldırganın kontrolündeki bir alan adından kod çekip çalıştırma, kötü amaçlı yönlendirmeler yapma ve reklam yerleştirme gibi işlemleri gerçekleştirebiliyorlar.
Ayrıca, bazı eklentilerin geçici bir DOM (belge nesne modeli) elementi üzerindeki “onreset” olay işleyicisini kullanarak kod çalıştırdığı tespit edildi. Bu yöntem, muhtemelen içerik güvenlik politikalarını (CSP) atlatmak amacıyla kullanılıyor.
Tespit edilen bazı sahte siteler; DeepSeek, Manus, DeBank, FortiVPN ve Site Stats gibi meşru ürün ve hizmetleri taklit ediyor. Bu siteler aracılığıyla kullanıcılara sahte eklentiler yüklettiriliyor. Ardından bu eklentiler, tarayıcı çerezlerini topluyor, uzaktaki bir sunucudan zararlı komut dosyaları indiriyor ve WebSocket bağlantısı kurarak trafiği yönlendirmek için bir ağ proxy’si gibi davranıyor.
Kurbanların bu sahte sitelere nasıl yönlendirildiği henüz bilinmiyor. Ancak DomainTools, bunun geleneksel oltalama (phishing) yöntemleri ve sosyal medya yoluyla gerçekleşmiş olabileceğini belirtiyor.
“Bu sahte siteler hem Chrome Web Mağazası’nda hem de normal web arama sonuçlarında çıktığı için kullanıcılar kolaylıkla bu uzantılara ulaşabiliyor. Ayrıca, bu sitelerden birçoğunda Facebook takip kimlikleri kullanıldığı görüldü; bu da Facebook/Meta uygulamaları, sayfaları, grupları veya reklamları aracılığıyla ziyaretçi çekmeye çalıştıklarını gösteriyor.”
Kampanyanın arkasındaki kişi ya da kişiler henüz tespit edilemedi. Ancak 100’den fazla sahte web sitesi ve kötü amaçlı Chrome eklentisi oluşturdukları biliniyor. Google ise bu eklentileri Chrome Web Mağazası’ndan kaldırmış durumda.
Kullanıcılar Ne Yapmalı?
- Yalnızca doğrulanmış geliştiricilerin uzantılarını yükleyin.
- Eklentinin istediği izinleri dikkatle inceleyin.
- Yorumlara ve derecelendirmelere göz atın, ancak sahte yorumlara karşı dikkatli olun.
- Tanıdık görünen ama aslında taklit olan eklentilere karşı temkinli olun.
DTI’nin analizine göre, DeepSeek’i taklit eden bazı uzantılar, kullanıcı 1-3 yıldız verdiğinde kullanıcıyı özel bir geri bildirim formuna (ai-chat-bot[.]pro alan adına) yönlendirirken; 4-5 yıldız verenleri Chrome Web Mağazası’ndaki gerçek yorum sayfasına yönlendiriyor. Bu da eklentilerin bilinçli şekilde olumsuz geri bildirimleri engelleyerek derecelendirmeleri yapay olarak yükseltmeye çalıştığını gösteriyor.
