Tarayıcı uzantıları, milyonlarca kullanıcının günlük hayatta kullandığı bir araç haline geldi. Chrome, Firefox veya Edge'de deneyiminizi iyileştirin.Bu eklentiler web sayfalarını çevirmek, reklamları engellemek, şifreleri yönetmek veya internette gezinmeyi hızlandırmak için kullanılır ve genellikle resmi uygulama mağazalarından birkaç tıklamayla yüklenirler. Tam da bu kolaylık nedeniyle, birçok kişi her eklentinin arkasında kimin olduğunu veya hangi izinleri istediğini neredeyse hiç kontrol etmez.
Bu ihmal, siber suçluların uzantıları kullanmasının önünü açıyor. Veri casusluğu ve hırsızlığı için sessiz kanalSon zamanlarda GhostPoster adı verilen bir kampanya, bu saldırı yönteminin ne kadar tehlikeli olduğunu açıkça ortaya koydu: Sahtekar uzantılar, meşruymuş gibi entegre oluyor, görünürde normal şekilde çalışıyor ve kullanıcı etkinliğini izlerken yıllarca şüphe uyandırmadan aktif kalabiliyor.
GhostPoster kampanyası nedir ve neden endişe vericidir?
Aralarında çeşitli siber güvenlik firmalarının da bulunduğu soruşturmalar KOI ve LayerXMozilla Firefox, Google Chrome ve Microsoft Edge'in resmi eklenti mağazalarını kullanan büyük ölçekli bir operasyonu ortaya çıkardılar. GhostPoster kampanyası kapsamında, birlikte ele alındığında, düzinelerce eklenti tespit edildi. 840.000'den fazla kurulum sayısına ulaştılar. Dünya çapında, sorunun kapsamı hakkında fikir veren bir rakam.
Bu zararlı eklentiler, günlük kullanım araçları gibi gizlenmiştir: Sayfa çevirmenleri, reklam engelleyiciler, sözde VPN'ler veya indirmeleri yönetmek için kullanılan yardımcı programlar. Kurulduktan sonra arka planda çalışarak kurbanın tarayıcıda neler yaptığını izler, tarama verilerine erişir ve bazı durumlarda erişim sağlar. Ekipmanların uzaktan kontrol edilmesine olanak sağlayan arka kapılar.
Özellikle endişe verici olan şey, bu eklentilerin çoğunun uzun zamandır resmi kataloglarda mevcut olmasıdır, bu da şu anlama gelir: Chrome Web Mağazası, Firefox Eklentileri ve Edge mağazasının inceleme filtrelerinden geçtiler.Yayınlanan analizlere göre, bazı tesisler 2020'den beri faaliyette olup, bu da kampanyanın büyük aksamalar olmadan sürdürülebilir bir şekilde aktif kalmasını sağlamıştır.
GhostPoster bünyesinde uzmanlar ayrıca şunları da tespit etti: daha gelişmiş ve kaçınmacı bir varyant Bu sürüm, tek başına 3.800'den fazla kurulum sayısına ulaşmıştır. Bu dal, kontrollerden kaçma ve görünüşte meşru eklentilerle karışma yeteneğiyle öne çıkıyor; bu da kullanıcıların bir şeylerin yanlış olduğunu fark etmesini daha da zorlaştırıyor.
GhostPoster'ın arkasındaki kötü amaçlı eklentiler nasıl çalışıyor?
Chrome, Firefox veya Edge için olsun, tarayıcı uzantıları yazılımla derinlemesine entegre olmuş durumdadır ve web sayfalarının içeriğini okuyun ve değiştirinBu, çerezlere erişimi, tarama geçmişini ve bazı durumlarda işletim sistemiyle etkileşimi içerir. Bir eklenti iyi tasarlanmışsa, bunların tümü faydalı işlevler sağlamaya yarar; kötü amaçlı olduğunda ise aynı erişim, saldırganlar için hassas bir silaha dönüşür.
GhostPoster olayında kilit nokta, zararlı unsurun dikkatlice gizlenmiş olmasıdır. Soruşturmalar, kampanyadan sorumlu olanların Uzantı simgesinin PNG görüntüsünün içine JavaScript kodunun bir bölümünü gizliyorlar.Steganografi olarak bilinen bu teknik, bilgilerin görünüşte zararsız dosyalarda gizlenmesine olanak tanır; böylece ilk bakışta yalnızca normal bir logo görülürken, içeride daha sonra çalıştırılacak kod bulunur.
Bu gizli kod, eklenti yüklendikten sonra etkinleşir ve şunlardan sorumludur: Kullanıcı faaliyetlerini gerçek zamanlı olarak izleyin.Ziyaret edilen sayfaları, doldurulan formları veya kullanılan hizmetleri kaydedebildiği gibi, kimlik bilgileri veya oturum belirteçleri gibi hassas bilgileri de ele geçirebilir. Bazı durumlarda, nihayetinde... Etkilenen ekipmanda bir arka kapı açın.Bu durum, saldırganlara uzaktan bağlantı kurma olanağı sağlıyor.
Steganografi kullanarak, siber suçlular kötü amaçlı bileşenin uzantı depolarının otomatik incelemeleri sırasında nispeten fark edilmeden kalmasını sağlarlar. Analiz sistemleri genellikle görünür kodu ve tanımlanmış davranışı inceler.Ancak, saldırının asıl özünün basit bir resmin içinde gizli olduğunu tespit edemeyebilirler. Bu yaklaşım, sahte eklentilerin dağıtımını engellemeye çalışan platformlar için zorluğu artırır.
Dahası, GhostPoster'a bağlı eklentiler, benzettiklerini iddia ettikleri meşru araçların işlevlerini oldukça sadakatle taklit ediyor. Örneğin, sayfa çevirisi veya temel reklam engelleme gibi özellikler sunarak normallik hissini pekiştiriyorlar. Kullanıcı, yararlı bir eklenti kullandığına inandığı sürece, Arka planda, saldırganın kontrolündeki sunuculara sürekli bir bilgi akışı sağlanmaktadır..
Kampanyanın keşfedilmesinde KOI ve LayerX'in rolü
GhostPoster skandalı bir gecede ortaya çıkmadı. Aralık ayı boyunca, güvenlik firması KOI'nin analistleri Resmi Mozilla Firefox mağazasında yayınlanan 17 adet kötü amaçlı eklentiden oluşan ilk grubu tespit ettiler. Bunların tamamı, yaygın yardımcı programlar arayan kullanıcıları hedef alıyordu ve toplamda 50.000'den fazla indirmeye sahipti.
Bundan kısa bir süre sonra, siber güvenlik şirketi LayerX soruşturmaya devam etti ve tespit etti. 17 benzer eklentiden oluşan başka bir paket Microsoft Edge ve Google Chrome katalogları aracılığıyla dağıtılan GhostPoster ile ilişkili toplam kurulum sayısı, bu yeni tespitlerle birlikte üç tarayıcıda 840.000'i aşarak küresel çapta önemli bir etkiye sahip bir kampanya haline geldi.
Yayınlanan raporlarda şu ayrıntılar yer almaktadır: Bu uzantıların tümü benzer davranış kalıplarını paylaşıyordu. ve çok benzer teknik yapılar, bunların aynı koordineli planın parçası olduğu sonucuna yol açtı. Belirlenen hedefler arasında gerçek zamanlı navigasyon izleme, büyük miktarda veri toplama ve ekipmana sessizce arka kapılar yerleştirme yer alıyordu.
Analiz sırasında KOI ve LayerX, GhostPoster Operasyonunun münferit bir olay olmadığını, aksine bir örnek teşkil ettiğini vurguladı. birkaç yıl boyunca sürdürülen bir strateji Uzantı ekosisteminden faydalanmak için. Araştırmacılar, çok sayıda kurulumun ve geç tespitin birleşiminin, saldırganların aktif kampanyalarını geniş bir manevra alanı ile sürdürmelerine olanak sağladığını vurguluyor.
Uzmanlara göre, tarayıcı üreticilerinin kendileri de karmaşık bir görevle karşı karşıya: Popüler hizmetleri taklit eden kötü amaçlı araçları tespit edin.Otomatik kontroller ve inceleme süreçleri mevcut olsa da, deneyimler gösteriyor ki, GhostPoster'da görülenler gibi gelişmiş gizleme taktikleri kullanan uzantıları durdurmak için bunlar her zaman yeterli olmuyor.
Bunun arkasında kim var: Darkspectre grubu ve onların önceki kampanyaları.
Soruşturma, siber güvenlik alanında tanınmış bir ismi işaret ediyor: Karanlık HayaletBu grup, yıllardır tarayıcı uzantıları kullanarak kötü amaçlı yazılım dağıtıyor ve GhostPoster ile teknik kaynakları ve altyapıyı paylaşan ShadyPanda ve The Zoom Stealer gibi önceki operasyonlarla da tanınıyor.
Elde edilen verilere göre, Darkspectre zaman içinde taktiklerini mükemmelleştirmiş durumda. Önceki kampanyalar, görünüşte güvenilir kanallar aracılığıyla sızmaya özel bir ilgi göstermişti.Tıpkı resmi aksesuar mağazaları gibi. GhostPoster, bu anlamda, anında alarm vermeden erişimi en üst düzeye çıkarmayı amaçlayan bir iş kolunun evrimi olacaktır.
LayerX, GhostPoster, ShadyPanda ve The Zoom Stealer'da kullanılan altyapıyı izlemenin, bu sitelerin kullanımını mümkün kıldığını açıklıyor. Bu tehditlerin teknik evrimini belgelemekAraştırmacılar, alan adlarının, sunucuların ve kod parçalarının farklı saldırılarda nasıl yeniden kullanıldığını ve araçların platformlar tarafından uygulanan güvenlik önlemlerine nasıl uyarlandığını gözlemlediler.
Güvenlik firmalarını en çok endişelendiren unsurlardan biri de şudur: Darkspectre ile bağlantılı bazı eklentilerin 2020'den beri aktif kaldığı bildiriliyor. Tespit edilmeden devam etmeleri, hem saldırganların gelişmişliğini hem de otomatik inceleme sistemlerinin sınırlılıklarını ortaya koymaktadır; zira bu sistemler, grafik simgeler gibi alışılmadık bileşenlerde gizlenmiş kötü amaçlı kalıpları her zaman tespit edememektedir.
Raporlar ayrıca, operasyonel açıdan bakıldığında, GhostPoster, son derece gelişmiş kaçınma tekniklerine güveniyor.Bu önlemler arasında gecikmeli bileşen yüklemesi, yalnızca belirli seyir koşulları altında aktivasyon ve komuta ve kontrol sunucularıyla gizli iletişim kullanımı yer almaktadır. Tüm bunlar, gürültüyü azaltmaya ve mümkün olduğunca uzun süre radardan uzak kalmaya katkıda bulunur.
Uzantılar, giderek yaygınlaşan bir saldırı yöntemi
GhostPoster'ın ötesinde, uzmanlar uzun zamandır uzantıların... siber suçlular için tekrar eden bir hedefPopülerlikleri ve resmi mağazalardan geliyormuş gibi görünmeleriyle yarattıkları güven, kullanıcı hiçbir şeyden şüphelenmeden kötü amaçlı yazılımları gizlice yüklemek için ideal bir kanal haline getiriyor.
Çoğu durumda, mağdurlar bu eklentileri şu nedenlerle indiriyorlar: Cazip ve ücretsiz özellikler vaat ediyorlar.Bu eklentiler size şu konularda yardımcı olabilir: rahatsız edici reklamları kaldırmak, gizliliği artırmak, tarayıcınızı hızlandırmak veya tekrarlayan görevleri otomatikleştirmek. Sorun şu ki, izinler verildikten sonra eklenti, tekrar yetkilendirme istemeye gerek kalmadan önemli miktarda bilgiye erişebilir.
GhostPoster gibi kampanyalar, eklentinin vaatlerinin bir kısmını yerine getirse bile, gizli faaliyetler yürütüyor olabilirlerBaşka bir deyişle, eklenti reklamları engelleyebilir veya sayfaları normal şekilde çevirebilir, ancak aynı anda tarama verilerini toplayabilir, kimlik bilgilerini ele geçirebilir veya yeni talimatlar indirmek için harici sunucularla iletişim kurabilir.
Görüntü steganografisi veya gizlenmiş kod çalıştırma gibi tekniklerin kullanımı, analiz görevini büyük ölçüde zorlaştırmaktadır. Geleneksel güvenlik sistemleri bilinen kalıpları aramaya eğilimlidir.Ancak kötü amaçlı kod grafik dosyalarına gizlendiğinde veya çeşitli bileşenler arasında küçük parçalar halinde dağıtıldığında, tespit edilmesi çok daha karmaşık hale gelir.
Bu senaryo hem tarayıcı geliştiricilerini hem de eklenti mağazalarını şu duruma zorluyor: doğrulama mekanizmalarını güçlendirmekUzmanlar, özellikle kısa sürede yüksek kurulum sayısına ulaşan eklentiler için, daha derinlemesine otomatik analiz, manuel denetimler ve yayınlandıktan sonraki gerçek davranışlarının daha iyi izlenmesinin birleştirilmesinin gerekli olacağını belirtiyor.
Avrupa'daki kullanıcılar üzerindeki etki ve temel öneriler
GhostPoster kampanyası küresel bir erişime sahip, ancak Bu durum İspanya'daki ve Avrupa'nın geri kalanındaki kullanıcıları da etkiliyor.Birleşik Krallık'ta Chrome, Firefox ve Edge, ev ve profesyonel ortamlardaki tarayıcı kullanımının neredeyse tamamını oluşturuyor. Son yıllarda çeviri eklentileri, reklam engelleyiciler veya VPN'ler yüklemiş olan herkes, eklenti zararlı yazılımlar listesinde yer alıyorsa risk altında olabilirdi.
Avrupa yetkilileri ve müdahale ekipleri, KOI ve LayerX gibi şirketlerin raporlarını referans olarak kullanıyor. Uyarılarınızı güncelleyin ve bilgisayar güvenlik standartlarıGenel tavsiye, yüklü eklentileri periyodik olarak gözden geçirmek ve artık kullanılmayan veya kaynağı belirsiz olanları kaldırmaktır. Bir kez kullanılıp sonra unutulan, ancak yine de tarayıcıya erişimi olan eklentilerin birikmesi yaygın bir durumdur.
Riskleri azaltmak için uzmanlar şu tavsiyelerde bulunuyor: tanınmış kuruluşlar tarafından geliştirilen uzantılara öncelik verinKullanıcı puanlarını ve sayısını kontrol edin ve tek bir pakette çok fazla özellik vaat eden çözümlere karşı temkinli olun. Ayrıca, özellikle bir eklenti kesinlikle gerekli görünmese de tüm tarama verilerine tam erişim istediğinde, yüklemeden önce istenen izinleri gözden geçirmeniz önerilir.
İnternet kullanımının sıklıkla hassas bilgilere ve iç hizmetlere erişimi içerdiği iş sektöründe, Avrupa kuruluşları özel politikalar uygulamaya koyuyor. Kurumsal bilgisayarlarda hangi uzantıların kullanılabileceğini kontrol etmeYaygın önlemler arasında izin verilen eklentilerin beyaz listelerinin oluşturulması, merkezi izleme ve tarayıcı etkinliğini izleyebilen güvenlik çözümlerinin kullanılması yer almaktadır.
Potansiyel olarak zararlı bir eklenti yüklediğinden şüphelenen bireysel kullanıcılar için uzmanlar şu önerilerde bulunuyor: Eklentiyi kaldırın, güvenilir bir antivirüs programıyla tarama yapın. Şüpheleriniz devam ederse, bir siber güvenlik uzmanına danışın. GhostPoster gibi karmaşık kampanyalarda, sisteme ek kötü amaçlı yazılımlar yüklenmişse, yalnızca kötü amaçlı yazılımı kaldırmak yeterli olmayabilir.
GhostPoster davası, bu durumun ne kadar yaygın olduğunu gözler önüne seriyor. Resmi eklenti mağazalarına körü körüne güvenmek riskli olabilir.Bilinmeyen web sitelerinden indirmelere karşı en güvenli kanal olmaya devam etseler de, deneyimler gösteriyor ki bunlar kusursuz değil ve saldırganlar kontrollerine nasıl uyum sağlayacaklarını biliyorlar. Kullanıcılar tarafından daha eleştirel kullanım, daha titiz inceleme süreçleri ve güvenlik şirketleri tarafından sürekli izleme, gelecekte benzer kampanyaları engellemenin anahtarı olacaktır.
