Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım ShadyPanda Kötü Amaçlı Tarayıcı Uzantıları

ShadyPanda Kötü Amaçlı Tarayıcı Uzantıları

Mezo'de Kötü amaçlı yazılım'de
Çevir:

Uzun vadeli siber istismarın çarpıcı bir örneği olarak, ShadyPanda adlı bir tehdit aktörü, tarayıcı uzantılarını hedef alan yedi yıllık bir kampanya yürüttü ve 4,3 milyondan fazla kuruluma ulaştı. Bu operasyon, uygun denetim olmadığında meşru yazılımların bile nasıl silaha dönüştürülebileceğini gösteriyor.

Meşru Araçlardan Kötü Amaçlı Güncellemelere

Ele geçirilen uzantılardan beşi, başlangıçta meşru uygulamalar olarak başlamış, ancak 2024 ortalarında kötü amaçlı işlevlerle değiştirilmişti. Bu güncellemeler, uzantılar kaldırılmadan önce yaklaşık 300.000 yüklemeye yol açtı. Kötü amaçlı güncellemeler, saatlik olarak uzaktan kod yürütülmesine olanak tanıyarak, saldırganların tam tarayıcı erişimiyle rastgele JavaScript dosyalarını indirip çalıştırmasına olanak sağladı. Bu uzantılar etkinleştirildikten sonra:

  • Ziyaret edilen her web sitesini takip edin.
  • Şifrelenmiş tarama geçmişini dışarı sızdırın.
  • Tarayıcının tüm parmak izlerini toplayın.

Dikkat çekici bir örnek, daha önce Google tarafından doğrulanan Clean Master'dır. Resmi statüsü, ShadyPanda'nın kullanıcı tabanını genişletmesine ve şüphe uyandırmadan kötü amaçlı güncellemeleri mümkün kılmasına yardımcı olmuştur.

Popüler Eklentiler Aracılığıyla Toplu Gözetim

WeTab'ı da içeren beş eklentiden oluşan bir diğer grup, kullanıcıları büyük ölçekte izliyordu. Bu eklentiler, URL'leri, arama motoru sorgularını, fare tıklamalarını ve diğer tarayıcı etkileşimlerini izleyerek verileri Çin'deki sunuculara iletiyordu. Toplamda, bu eklentiler yaklaşık dört milyon kez yüklenirken, WeTab tek başına üç milyon yüklemeye sahipti.

Kötü niyetli davranışa dair ilk belirtiler 2023 yılında ortaya çıktı ve geliştiriciler nuggetsno15' ve 'rocket Zhang', duvar kağıdı veya üretkenlik araçları kisvesi altında 20 Chrome eklentisi ve 125 Edge eklentisi yayınladı.

Ortaklık Dolandırıcılığı ve Tarayıcı Kaçırma Yöntemlerinden Yararlanma

ShadyPanda'nın uzantıları başlangıçta, eBay, Amazon ve Booking.com gibi sitelere izleme kodları enjekte ederek yasadışı komisyonlar elde eden ortaklık dolandırıcılığı yapıyordu. 2024 başlarında, bu taktikler aktif tarayıcı kontrolüne de dönüştü ve şunları içeriyordu:

  • Arama sorgusu hasadı.
  • Bilinen bir korsan olan trovi.com üzerinden aramaları yönlendiriyor.
  • Hedeflenen etki alanlarından çerezlerin sızdırılması.

2024 yılının ortalarına doğru, uzun süredir meşru olarak kullanılan üç uzantı, 'api.extensionplay(dot)com' adresinden saatlik JavaScript yüklerini almak, bunları çalıştırmak ve her site ziyaretini izlemek ve şifrelenmiş verileri 'api.cleanmasters(dot)store' adresine iletmek üzere değiştirildi. Yükler büyük ölçüde gizlendi ve geliştirici araçları tespit edilirse zararsız moda girdi, bu da kötü amaçlı yazılımın tespit edilmekten kaçınmasına yardımcı oldu.

Gelişmiş Saldırı Yetenekleri

İzlemenin ötesinde, bu uzantılar, ortadaki düşman (AitM) saldırıları düzenleyerek şunları kolaylaştırabilir:

  • Kimlik hırsızlığı.
  • Oturum kaçırma.
  • Herhangi bir siteye keyfi kod enjeksiyonu.

Gözetim, kaydırma davranışı, sayfalarda geçirilen süre ve tüm tarayıcı parmak izleri de dahil olmak üzere kapsamlı kullanıcı etkileşimlerini kaydeden WeTab gibi Microsoft Edge eklentileriyle yoğunlaştı. Bu eklentiler artık ilgili pazar yerlerinden indirilemiyor.

Kullanıcılar için Önerilen Eylemler

Bu kampanya, meşru araçlardan karmaşık casus yazılımlara doğru evrilerek dört farklı aşamadan geçti. İndirme sayılarının meşru görünmek için yapay olarak şişirilip şişirilmediği belirsiz olsa da, kullanıcılar için risk hala ciddi. Bu eklentilerden herhangi birini yükleyen kullanıcılar, eklentileri derhal kaldırmalı ve tüm çevrimiçi hesaplarının şifrelerini değiştirmelidir.

Etkilenen uzantılara örnekler:

  • Clean Master: En iyi Chrome Önbellek Temizleyicisi
  • Speedtest Pro - Ücretsiz Çevrimiçi İnternet Hız Testi
  • BlockSite
  • Adres çubuğu arama motoru değiştirici
  • SafeSwift Yeni Sekme
  • Infinity V+ Yeni Sekme
  • OneTab Plus: Sekme Yönetimi ve Verimlilik
  • WeTab Uygulaması
  • Mobil için Infinity Yeni Sekme
  • Infinity Yeni Sekme (Pro)
  • Sonsuzluk Yeni Sekme
  • Dream Afar Yeni Sekme
  • İndirme Yöneticisi Pro
  • Galaxy Tema Duvar Kağıdı HD 4k Ana Sayfa
  • Halo 4K Duvar Kağıdı HD Ana Sayfa
  • ShadyPanda'dan Dersler

ShadyPanda'nın başarısı, teknik gelişmişliğin tek başına yeterli olmadığını, kampanyanın tarayıcı eklenti pazarlarındaki sistemsel bir güvenlik açığından yararlanarak ilerlediğini gösteriyor. Eklentiler gönderildikten sonra inceleniyor, ancak onay sonrası davranışları büyük ölçüde izlenmiyor. Bu uzun vadeli gözetim açığı, güvenilir araçların sessizce gözetim platformlarına dönüşmesine olanak tanıyarak, doğrulanmış yazılımlarda bile sürekli tetikte olma ihtiyacını ortaya koydu.

trend

SafariBookings Dolandırıcılığı

Kimlik avı, İstenmeyen e-posta
Siber suçlular, SafariBookings Dolandırıcılığı olarak bilinen bir kimlik avı kampanyasıyla seyahat sektörünü istismar ediyor. Bu e-postalar, herhangi bir meşru şirket, kuruluş veya hizmet sağlayıcıyla bağlantılı değildir. Bir seyahat rezervasyon hizmetinden gelen resmi mesajlar gibi görünmek üzere tasarlanmışlardır, ancak tek amaçları alıcıları hassas kişisel bilgilerini ifşa etmeleri konusunda...

Gelen Mesaj Duraklatıldı Dolandırıcılığı

Kimlik avı, İstenmeyen e-posta
Siber suçlular e-posta tabanlı aldatmacayı geliştirmeye devam ediyor ve "Gelen Mesaj Duraklatıldı" dolandırıcılığı, ikna edici bir şekilde hazırlanmış spam'lerin şüphesiz alıcıları nasıl cezbedebileceğinin bir başka örneği. Bu sahte uyarılar, mesajların gelen kutunuzdan gizlendiğini iddia ederek sizi bir kimlik avı sayfasına yönlendirmeye çalışır. Bu e-postaların cPanel veya başka herhangi bir...

En çok görüntülenen

Yükleniyor...