Haberler

Yeni Detaylar, Saldırganların 35 Google Chrome Uzantısını Nasıl Ele Geçirdiğini Ortaya Çıkardı

Gürkan Küçükali fotoğrafı Gürkan Küçükali Bir e-posta göndermek 01/01/2025
0 2 dakika okuma süresi

Yeni detaylar, Google Chrome eklentisi geliştiricilerini hedef alan bir kimlik avı saldırısının, 35 eklentinin ele geçirilmesine yol açtığını ortaya koydu. Bu eklentilerden bazıları, güvenlik firması Cyberhaven tarafından kullanılan eklentilerdi. Saldırganlar, bu eklentilere veri çalan kötü amaçlı kodlar enjekte ederek, yaklaşık 2.600.000 kullanıcının verilerini tehdit etti.

Kullanıcıları Aldatmaya Yönelik OAuth Saldırısı Yapıldı

Kimlik avı saldırısı, eklenti geliştiricilerine gönderilen e-postalarla başladı. Bu e-postalar, Chrome Web Store politikalarına aykırılık iddialarıyla geliştiricileri kandırarak, kötü amaçlı bir OAuth uygulamasının erişim iznini almaya yönelikti. Hackerlar, bu şekilde geliştiricilerin hesaplarına erişip, eklentileri değiştirerek ‘worker.js’ ve ‘content.js’ dosyaları ekledi. Bu dosyalar, Facebook hesaplarından veri çalmaya yönelik kodlar içeriyordu. BleepingComputer tarafından görülen e-postalarda, saldırıda kullanılan bazı alan adları şu şekildeydi;

  • supportchromestore.com
  • forextensions.com
  • chromeforextension.com

Kimlik avı e-postası, Google’dan geliyormuş gibi görünerek, eklentinin Chrome Web Store politikalarını ihlal ettiği ve kaldırılma riski taşıdığı iddiasında bulunuyor. Kullanıcılara; “Yanıltıcı, kötü formatlanmış, açıklayıcı olmayan, alakasız, aşırı ya da uygunsuz meta verileri içeren eklentiler, açıklama, geliştirici adı, başlık, simge, ekran görüntüleri ve tanıtım görselleri dahil ancak bunlarla sınırlı olmamak üzere kabul edilmez,” şeklinde bir mesaj gönderiliyor.

Eklenti geliştiricisine, yazılımının açıklamasının yanıltıcı olduğuna inandırılıyor. Kullanıcıdan Chrome Web Store politikalarını anlamak için ‘Politikaya Git’ butonuna tıklaması isteniyor. Ancak bu buton, onları kötü amaçlı bir OAuth uygulamasının barındığı, Google’ın gerçek oturum açma sayfasına yönlendiriyor.

Yeni Detaylar, Saldırganların 35 Google Chrome Uzantısını Nasıl Ele Geçirdiğini Ortaya Koydu
Saldırıda kullanılan kimlik avı e-postası

Bu sayfa, üçüncü taraf uygulamalara belirli Google hesap kaynaklarına erişim izni vermek için tasarlanmış bir OAuth yetkilendirme akışının parçası olarak görev alıyor. Saldırgan, “Gizlilik Politikası Eklentisi” adında kötü amaçlı bir OAuth uygulaması barındırarak, kurbanın Chrome Web Store eklentileri üzerinde yönetim izni vermesini sağlıyor. Bu saldırıda çok faktörlü kimlik doğrulama özelliği de (MFA) kullanıcı güvenliğini sağlayamadı.

Yeni Detaylar, Saldırganların 35 Google Chrome Uzantısını Nasıl Ele Geçirdiğini Ortaya Koydu
Kötü niyetli kimlik doğrulama isteği

Saldırganlar, eklenti geliştiricisinin hesabına erişim sağladıktan sonra, eklentiyi iki kötü amaçlı dosya olan ‘worker.js’ ve ‘content.js’ dosyalarını içerecek şekilde değiştirdiler. Bu dosyalar, Facebook hesaplarından veri çalmaya yönelik kodları içeriyordu.

Ele geçirilen eklenti, Chrome Web Store’da yeni bir sürüm olarak yayımlandı. Toplamda 35 eklenti, bu kimlik avı kampanyasından etkilendi. Ancak saldırının izlerini taşıyan IOCs, daha fazla sayıda eklentinin hedef alındığını gösteriyor.

İzin onayı istemi

VirusTotal’a göre, saldırganlar, hedeflenen eklentiler için önceden alan adları kaydetmişti, bu eklentiler saldırıya uğramasa bile. BleepingComputer, saldırganların Mart 2024’te bu saldırıyı test ettiğini ortaya çıkardı.

Kimlik avı kampanyasında daha önce kullanılan alt alan adları

Facebook İşletme Hesapları Hedef Alındı

Hedef alınan makineler incelendiğinde saldırganların, zehirli eklentileri kullananların Facebook hesaplarını hedef aldığı görüldü. Özellikle, veri çalma kodu, kullanıcının Facebook ID’sini, erişim belirtecini, hesap bilgilerini, reklam hesabı bilgilerini ve işletme hesaplarını ele geçirmeye çalışıyordu.

Ayrıca kötü amaçlı kod, sadece Facebook.com adresinde farenin hareketlerini de kayıt altına alıyordu. Bu kayıt işlemleri ile platformun iki faktörlü kimlik doğrulama ya da CAPTCHA mekanizmalarını çözmeye çalışıyordu. Bu yöntemle saldırganlar Facebook hesabındaki 2FA korumalarını geçmeye çalışıyordu.

Çalınan bilgiler, Facebook çerezleri, kullanıcı ajanı dizesi, Facebook ID’si ve fare tıklama olayları ile birlikte toplanarak, saldırganın komut ve kontrol sunucusuna gönderiliyordu. Hackerlar bu saldırıları yaparak, Facebook işletme hesaplarını hedef alarak, mağdurun kredilerinden doğrudan ödeme yapmak, kimlik avı kampanyaları yürütmek ya da erişim bilgilerini başkalarına satmayı amaçlıyordu.

Gürkan Küçükali fotoğrafı Gürkan Küçükali Bir e-posta göndermek 01/01/2025
0 2 dakika okuma süresi
Gürkan Küçükali fotoğrafı

Gürkan Küçükali

İlgili Makaleler

OpenAI, Galaxy Telefonlarında Yapay Zeka Özelliklerini Kullanmak İçin Samsung'la Görüşüyor!

OpenAI’nin Kar Amacı Gütme Planına Hinton’dan Sert Tepki Geldi

01/01/2025
Intel'in Linux Performansının Tek Satır Kodla Yüzde 40 Arttığı Görüldü!

2025’te Yeni Linux Kullanıcıları İçin Olmazsa Olmaz 10 Uygulama

01/01/2025
Microsoft Edge’nin Pazar Payı Yüzde 13'ün Altına Düştü

Microsoft Edge Pazar Payı Artıyor, Google Chrome Hâlâ Lider

01/01/2025
Windows 11'de Az Bilinen 5 Görev Yöneticisi Özelliği

Windows 11 Kullanıcı Kaybederken, Windows 10 Güçleniyor

01/01/2025

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu