Siber Muhbir

Socket'e göre, uzantılar (tam liste burada) beş farklı yayıncı kimliği altında yayımlanıyor – Yana Project, GameGen, SideGames, Rodeo Games ve InterAlt – ve toplamda Chrome Web Store'da yaklaşık 20.000 yükleme topladı.

"Tüm 108 çalınan kimlik bilgilerini, kullanıcı kimliklerini ve gezinme verilerini aynı operatör tarafından kontrol edilen sunuculara yönlendiriyor," dedi güvenlik araştırmacısı Kush Pandya bir analizde.

Bunlardan 54'ü Google hesabı kimliğini OAuth2 üzerinden çalıyor, 45 eklenti tarayıcı açılır açılmaz rastgele URL'leri açan evrensel bir arka kapı içeriyor ve geri kalanlar çeşitli kötü niyetli davranışlar sergiliyor -

• Her 15 saniyede bir Telegram Web oturumlarını sızdırmak
• YouTube ve TikTok güvenlik başlıklarını (örneğin, İçerik Güvenlik Politikası, X-Frame-Options ve CORS) çıkarın ve kumar üst katmanları ile reklamlar ekleyin
• Kullanıcının ziyaret ettiği her sayfaya içerik betikleri enjekte edin
• Tüm çeviri taleplerini tehdit aktörünün sunucusu üzerinden proxy ile gönderin

Bir meşruiyet görünümü kazandırmak amacıyla, tanımlanan eklentiler Telegram yan bar istemcisi, slot makinesi ve Keno oyunları, YouTube ve TikTok geliştiricileri, metin çeviri araçları ve sayfa araçları gibi davranıyor. Reklam edilen işlevsellik çeşitli; geniş bir ağ yayını yapmayı amaçlarken aynı arka uçu paylaşır.

Ancak kullanıcıların haberi olmadan, arka planda çalışan kötü amaçlı kod oturum bilgilerini yakalar, rastgele betikler enjekte eder ve saldırganın seçtiği URL'leri açar.

Belirlenen bazı uzantılar aşağıda listelenmiştir -

• Telegram Çoklu Hesap (ID: obifanppcpchlehkjipahhphbcbjekfa), Telegram Web tarafından kullanılan user_auth token'ı çıkarır ve verileri uzak bir sunucuya aktarır. Ayrıca localStorage'ı tehdit aktörünün sağladığı oturum verileriyle üzerine yazabilir ve mesajlaşma uygulamasını zorunlu olarak yükleyebilir; böylece kurbanın aktif Telegram oturumunu tehdit aktörünün seçtiği oturumla değiştirir.
• Telegram için Web İstemcisi - Teleside (ID: mdcfennpfgkngnibjbpnpaafcjnhcjno), Telegram'ın güvenlik başlıklarını çıkarır ve Telegram oturumlarını çalmak için script enjekte eder.
• Formula Rush Racing Game (ID: akebbllmckjphjiojeioooidhnddnplj), kurban ilk kez giriş butonuna tıkladığında kullanıcının Google hesabı kimliğini çalıyor. Bu, e-posta, tam isim, profil resmi URL'si ve Google hesap tanımlayıcısı gibi detayları içerir.

Beş uzantı, sayfa yüklenmeden önce hedef sitelerden güvenlik başlıklarını kaldırmak için Chrome'un deklaratif NetRequest API'sini kullanıyor," dedi Socket. "Tüm 108 kötü amaçlı uzantı aynı arka uçu paylaşıyor ve 144.126.135[.]238."

Şu anda politika ihlali uzatmaların arkasında kimin olduğu bilinmemektedir. Ancak, kaynak kodunun analizi, birkaç eklentide Rusça yorumların ortaya çıktığını ortaya çıkardı.

Herhangi bir uzantı yükleyen kullanıcıların, bunları derhal kaldırmaları ve Telegram mobil uygulamasından tüm Telegram Web oturumlarından çıkış yapmaları tavsiye edilir.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.