Siber Muhbir

Saldırı, bir kimlik avı kampanyası aracılığıyla Chrome Web Mağazası'ndaki tarayıcı uzantılarının yayıncılarını hedef aldı ve çerezleri ve kullanıcı erişim jetonlarını çalmak için meşru uzantılara kötü amaçlı kod eklemek için erişim izinlerini kullandı.

Kampanyayı aydınlatan ilk şirket, çalışanlarından biri 24 Aralık'ta bir kimlik avı saldırısı tarafından hedef alınan ve tehdit aktörlerinin uzantının kötü amaçlı bir sürümünü yayınlamasına izin veren siber güvenlik firması Cyberhaven oldu.

27 Aralık'ta Cyberhaven, bir tehdit aktörünün tarayıcı uzantısını tehlikeye attığını ve cyberhavenext etki alanında bulunan harici bir komut ve kontrol (C&C) sunucusuyla iletişim kurmak için kötü amaçlı kod enjekte ettiğini açıkladı.artı, ek yapılandırma dosyaları indirin ve kullanıcı verilerini sızdırın.

Google Chrome Web Mağazası Geliştirici Desteği'nden geldiği iddia edilen kimlik avı e-postası, Geliştirici Program Politikaları'nın ihlal edildiğini gerekçe göstererek uzantılarının uzantı mağazasından kaldırılma riskiyle karşı karşıya olduğunu iddia ederek yanlış bir aciliyet duygusu uyandırmaya çalıştı.

Ayrıca, alıcıyı politikaları kabul etmek için bir bağlantıya tıklamaya çağırdı ve ardından "Gizlilik Politikası Uzantısı" adlı kötü amaçlı bir OAuth uygulamasına izin vermek için bir sayfaya yönlendirildiler.

Cyberhaven ayrı bir teknik yazıda, "Saldırgan, kötü amaçlı uygulama ('Gizlilik Politikası Uzantısı') aracılığıyla gerekli izinleri aldı ve Chrome Web Mağazası'na kötü amaçlı bir Chrome uzantısı yükledi" dedi. "Geleneksel Chrome Web Mağazası Güvenlik inceleme sürecinden sonra, kötü amaçlı uzantının yayınlanması onaylandı."

Tarayıcı uzantısı güvenliği konusunda uzmanlaşmış LayerX Security'nin CEO'su Or Eshed, "Tarayıcı uzantıları, web güvenliğinin yumuşak karnıdır" diyor. "Tarayıcı uzantılarını zararsız olarak düşünme eğiliminde olsak da, pratikte, çerezler, erişim belirteçleri, kimlik bilgileri ve daha fazlası gibi hassas kullanıcı bilgilerine sıklıkla kapsamlı izinler verilir.

"Birçok kuruluş, uç noktalarına hangi uzantıları yüklediklerini bile bilmiyor ve maruz kalmalarının kapsamının farkında değil."

SaaS güvenlik şirketi Nudge Security'nin CTO'su Jamie Blasco, Cyberhaven ihlali için kullanılan C&C sunucusunun aynı IP adresine çözümlenen ek alan adları belirledi.

Daha fazla araştırma, tarayıcı uzantısı güvenlik platformları Secure Annex ve Extension toplamına göre, güvenliği ihlal edildiğinden şüphelenilen daha fazla uzantıyı [Google E-Tablolar] ortaya çıkardı:

• AI Assistant - ChatGPT and Gemini for Chrome
• Bard AI Chat Extension
• GPT 4 Summary with OpenAI
• Search Copilot AI Assistant for Chrome
• TinaMInd AI Assistant
• Wayin AI
• VPNCity
• Internxt VPN
• Vidnoz Flex Video Recorder
• VidHelper Video Downloader
• Bookmark Favicon Changer
• Castorus
• Uvoice
• Reader Mode
• Parrot Talks
• Primus
• Tackker - online keylogger tool
• AI Shop Buddy
• Sort by Oldest
• Rewards Search Automator
• ChatGPT Assistant - Smart Search
• Keyboard History Recorder
• Email Hunter
• Visual Effects for Google Meet
• Earny - Up to 20% Cash Back
• Where is Cookie?
• Web Mirror
• ChatGPT App
• Hi AI
• Web3Password Manager
• YesCaptcha assistant
• Bookmark Favicon Changer
• Proxy SwitchyOmega (V3)
• GraphQL Network Inspector
• ChatGPT for Google Meet
• GPT 4 Summary with OpenAI

Güvenliği ihlal edilmiş bu ek uzantılar, Cyberhaven'ın tek seferlik bir hedef olmadığını, meşru tarayıcı uzantılarını hedef alan geniş ölçekli bir saldırı kampanyasının parçası olduğunu gösteriyor.

Secure Annex'in kurucusu John Tuckner, yaptığı açıklamada, kampanyanın 5 Nisan 2023'ten beri devam etme olasılığının olduğunu ve kullanılan alan adlarının kayıt tarihlerine bağlı olarak muhtemelen daha da geriye gitme olasılığı olduğunu söyledi: nagofsg[.]com Ağustos 2022'de tescil edildi ve sclpfybn[.]com Temmuz 2021'de tescil edildi.

Tuckner, "Cyberhaven saldırılarında bulunan aynı kodu, 'Okuyucu Modu' adı verilen bir uzantıdaki ilgili koda (Code1 diyelim) bağladım" dedi. "'Okuyucu Modu'ndaki kod, Cyberhaven saldırı kodunu (Code1) ve ek bir uzlaşma göstergesi "sclpfybn[.]com" kendi ek kodu (Code2) ile."

"Bu etki alanına yönelmek beni yedi yeni uzantıya yönlendirdi. "Ödül Arama Otomatı" adı verilen ilgili uzantılardan biri, kendisini 'güvenli tarama' işlevi olarak maskeleyen ancak veri sızdıran (Code2) idi.

"'Ödül Arama Otomatı' ayrıca yeni bir alan adı olan 'tnagofsg[.] ile maskelenmiş 'e-ticaret' işlevselliğini (Code3) içeriyordu.com' işlevsel olarak 'güvenli tarama'ya inanılmaz derecede benzer. Bu alan adında daha fazla arama yaptığımda, içinde hala 'e-ticaret' kodu olan (Code3) ve en son 5 Nisan 2023'te güncellenen 'Earny - %20'ye Kadar Para İadesi'ni buldum."

Güvenliği ihlal edilmiş Cyberhaven eklentisine gelince, analizler, kötü amaçlı kodun öncelikle Facebook Ads kullanıcılarını ayırmak amacıyla Facebook hesaplarının kimlik verilerini ve erişim belirteçlerini hedef aldığını gösteriyor.

Ayrıca Facebook'ta fare tıklaması olaylarını dinlemek için kod da içeriyordu[.]com web sitesi, bir kullanıcı bir sayfayı her tıkladığında src özelliğinde "qr / show / code" alt dizesini içeren görüntüleri kontrol eder ve bulunursa, bunları C&C sunucusuna gönderir. Amacın, iki faktörlü kimlik doğrulama (2FA) istekleri gibi güvenlik kontrollerini atlamak için QR kodlarını aramak olduğundan şüpheleniliyor.

Cyberhaven, tarayıcı uzantısının kötü amaçlı sürümünün yayınlandıktan yaklaşık 24 saat sonra kaldırıldığını söylüyor. Açığa çıkan diğer uzantılardan bazıları da zaten güncellenmiş veya Chrome Web Mağazası'ndan kaldırılmıştır.

Ancak, uzantının Chrome mağazasından kaldırılmış olması, maruziyetin bittiği anlamına gelmez, diyor Or Eshed. "Uzantının güvenliği ihlal edilmiş sürümü uç noktada hala canlı olduğu sürece, bilgisayar korsanları ona erişmeye ve veri sızdırmaya devam edebilir" diyor.

O zamandan beri, bazı uzantılarda veri toplama kodunun varlığının bir uzlaşmanın sonucu olmadığı, ancak muhtemelen geliştiricilerin kendileri tarafından, aynı zamanda ayrıntılı tarama verilerini gizlice sızdıran bir para kazanma yazılımı geliştirme kitinin (SDK) bir parçası olarak dahil edildiği de ortaya çıktı.

Güvenlik araştırmacısı Wladimir Palant, "Google Meet için Görsel Efektler geliştiricisi uzantılarını Karma'ya satmadan önce, bu 'reklam engelleme kitaplığı' ile para kazanmaya çalıştılar" dedi. "Satış konuşmasında kütüphaneyi kimin geliştirdiğinden bahsedilmiyor ama her şey Urban VPN'e işaret ediyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.