Google‘ın Chrome Web Mağazası‘ndan milyonlarca kez indirilen 500‘den fazla tarayıcı uzantısının gizli tarama verilerini saldırgan kontrollü sunuculara gizlice yüklediğini tesbit edilmiştir.
Uzantılar, bağımsız araştırmacı Jamila Kaya tarafından keşfedilen uzun süredir devam eden kötü amaçlı reklam ve dolandırıcılık planının bir parçasıydı. O ve Cisco‘ya ait Duo Security‘den araştırmacılar sonunda 1.7 milyondan fazla yüklemeye sahip 71 Chrome Web Mağazası uzantısını belirlediler. Araştırmacılar bulgularını Google‘a özel olarak bildirdikten sonra şirket 430‘dan fazla ek uzantı tespit etti. Google o zamandan beri bilinen tüm uzantıları kaldırdı.
Kaya ve Duo Güvenlik araştırmacısı Jacob Rickerd bir raporda , "Burada bildirilen durumda, Chrome uzantı içerik oluşturucuları, temelde reklam işlevselliğini kullanıcılardan gizleyen uzantılar yapmıştı ." “Bu, tarayıcı istemcilerini bir komut ve kontrol mimarisine bağlamak, kullanıcıların bilgisi olmadan özel tarama verilerini genişletmek, kullanıcıyı reklam akışları aracılığıyla istismar riskine maruz bırakmak ve Chrome Web Mağazası‘nın sahtekarlık tespit mekanizmalarından kaçınmaya çalışmak için yapıldı .”
Yönlendirme, Kötü Amaçlı Yazılım ve Daha FazlasıUzantılar çoğunlukla çeşitli tanıtım ve hizmet olarak reklam yardımcı programları sağlayan araçlar olarak sunuldu. Aslında, enfekte olmuş tarayıcıları kabataslak alanlardan oluşan bir labirent aracılığıyla karıştırarak reklam sahtekarlığı ve kötü amaçlı reklamcılık yaptılar. Her eklenti ilk önce eklentiyle aynı adı kullanan bir etki alanına bağlandı (örneğin: Mapstrek [.] Com veya ArcadeYum [.] Com), kendilerini kaldırıp kaldırmamaya ilişkin talimatları kontrol edin.
Eklentiler daha sonra ek talimatlar, veri yüklenecek konumlar, reklam feed listeleri ve gelecekteki yönlendirmeler için etki alanlarını almak için tarayıcıları birkaç sabit kodlu kontrol sunucusundan birine yönlendirdi. Etkilenen tarayıcılar daha sonra kullanıcı verilerini yükledi, eklenti yapılandırmalarını güncelledi ve bir site yönlendirmesi akışı üzerinden aktı.
Yönlendirmelerin çoğu Macy‘s, Dell ve Best Buy‘daki ürünler için iyi niyetli reklamlara yol açtı. Düzeni kötü niyetli ve hileli yapan
büyük miktarda reklam içeriği (bazı durumlarda 30 yönlendirmeye kadar), (b) son kullanıcılardan gelen çoğu reklamın kasıtlı olarak gizlenmesi ve (c) reklamın kullanımı virüslü tarayıcıları kötü amaçlı yazılımlara ve kimlik avı sitelerine göndermek için akışları yeniden yönlendirin. Eklenti sitelerine bağlı iki kötü amaçlı yazılım örneği şunlardı:
* Terminal hizmetiyle ilgili anahtarları okuyan ve yerel tarayıcılardan hassas olabilecek bilgilere erişen
ARCADEYUMGAMES.exe ve Panoyu açma yeteneğine sahip
MapsTrek.exe* Şemada kullanılan siteler dışında biri, daha önce tehdit istihbarat servisleri tarafından kötü niyetli veya hileli olarak kategorize edilmemiştir. Tek istisna, sabit kodlanmış kontrol sunucularından biri olan DTSINCE [.] Com adlı bir kimlik avı sitesi olarak listelenen Missouri eyaletiydi.
Araştırmacılar, kampanyanın en az Ocak 2019‘dan beri yürütüldüğüne dair kanıt buldular ve özellikle Mart‘tan Haziran‘a kadar hızla büyüdüler. Operatörlerin çok daha uzun bir süre aktif olması mümkündür, muhtemelen 2017 kadar erken.
500 eklentinin her biri farklı gibi görünse de, benzersiz olan işlev adları hariç, hepsi neredeyse aynı kaynak kodunu içeriyordu. Kaya , Chrome uzantılarının güvenliğini değerlendirmek için bir araç olan CRXcavator yardımıyla kötü amaçlı eklentileri keşfetti . Duo Security tarafından geliştirildi ve geçen yıl serbestçe sunuldu . Eklentilerin neredeyse hiçbirinin kullanıcı derecelendirmesi yok, araştırmacıları uzantıların nasıl yüklendiğinden tam olarak emin olmayan bir özellik. Google, araştırmacılara bulgularını bildirdikleri için teşekkür etti.
Uzantılara Dikkat EdinBu son keşif, farklı bir bağımsız araştırmacının, tarama geçmişlerini 4 milyondan fazla virüslü makineden kaldıran tarayıcı uzantılarını belgeledikten yedi ay sonra geliyor . Kurulumların büyük çoğunluğu Chrome kullanıcılarını etkilerken, bazı Firefox kullanıcıları da süpürüldü. Nacho AnalyticsOperasyonun Ars kapsamını takiben verileri toplayan ve açık bir şekilde satan şirket kapanmıştır. Perşembe günkü raporda, ilişkili alan adlarıyla birlikte 71 kötü amaçlı uzantı içeren bir liste var. Uzun bir uygulamanın ardından Google, kendi soruşturmasında bulduğu uzantılardan veya alan adlarından hiçbirini belirlemedi. Eklentilerden birine sahip olan bilgisayarlar, "otomatik olarak devre dışı bırakıldığını" belirten bir açılır pencere bildirimi aldı. Bir bağlantıyı izleyen kişiler kırmızı bir uyarı aldı: "Bu uzantı kötü amaçlı yazılım içeriyor."
Daha kötü niyetli ve hileli tarayıcı uzantılarının bulunması, insanların bu araçları yüklerken dikkatli olmaları ve bunları yalnızca gerçek fayda sağladıklarında kullanmaları gerektiğini hatırlatır. Şüpheli davranış raporlarını kontrol etmek için kullanıcı yorumlarını okumak her zaman iyi bir fikirdir. Kullanıcılar, yakın zamanda tanımadıkları veya kullanmadığı uzantıları düzenli olarak kontrol etmeli ve kaldırmalıdır.