VPN (sanal özel ağlar) enfekte olarak poz veren üç kötü niyetli krom uzantısı, tarayıcı korsanları, nakit geri dönüş araçları ve veri çalma şirketleri olarak hareket ederek 1.5 milyon kez indirildi.
Kötü niyetli uzantıları keşfeden ReasonLabs'a göre, Grand Theft Auto, Assassins Creed ve Torrent sitelerinden dağıtılan Sims 4 gibi popüler video oyunlarının korsan kopyalarına gizlenmiş bir yükleyici aracılığıyla yayılıyorlar.
Sebepss, Google'a bulgularını bildirdi ve teknoloji devi, krom web mağazasından rahatsız edici uzantıları kaldırdı, ancak bunlar sadece toplam 1,5 milyon indirme topladıktan sonra.
Özellikle, kötü niyetli uzantılar Netplus (1 milyon kurulum), Netsave ve Netwin (500.000 kurulum) idi.
Enfeksiyonların çoğu Rusya'da ve Ukrayna, Kazakistan ve Belarus gibi ülkelerde, bu nedenle kampanya Rusça konuşan kullanıcıları hedefliyor gibi görünüyor.
ReasonLabs, 60MB ile 100MB arasında ölçülen bir elektron uygulaması olan kötü amaçlı yükleyici dosyasını sunan binden fazla farklı torrent dosyasını keşfetti.
VPN uzantılarının kurulumu otomatik ve zorla, kayıt defteri düzeyinde gerçekleşir ve kullanıcıyı içermez veya kurbanın tarafında herhangi bir işlem gerektirmez.
Sonunda, yükleyici enfekte edilmiş makinede antivirüs ürünlerini kontrol eder, ardından Netsave'i Google Chrome'a ve Microsoft Edge'deki NetPlus'a düşürür ve her iki kullanımı da kapsar.
Kötü niyetli uzantılar, bir özgünlük duygusu oluşturmak için bazı işlevsellik ve ücretli bir abonelik seçeneği ile gerçekçi bir VPN kullanıcı arayüzü kullanır.
Kod analizi, uzantının ayrıca "sekmeler", "depolama", "proxy", "WebRequest", "WebRequestBlocking", "DeclarativenTRequest", "" senaryo "," "Alarmlar" "çerez," "Activetab," "yönetim" ve "ekran dışı."
ReasonLabs, 'ekran dışı' izninin kötüye kullanılmasının, kötü amaçlı yazılımın ekran dışı API üzerinden komut dosyalarını çalıştırmasını ve web sayfasının geçerli DOM'uyla gizlice etkileşime girmesini sağladığını belirtiyor (belge nesne modeli).
DOM'a bu kapsamlı erişim, uzantıların hassas kullanıcı verilerini çalmasını, tarama kaçırmalarını gerçekleştirmesini, Web isteklerini manipüle etmesini ve hatta tarayıcıya yüklenen diğer uzantıları devre dışı bırakmasını sağlar.
Uzatmanın bir diğer işlevi, enfekte olmuş cihazdaki rekabeti ortadan kaldırmak ve saldırganlara karları yönlendirmek için diğer nakit ve kupon uzantılarını devre dışı bırakmaktır.
Sebepss, kötü amaçlı yazılımın Avast SafePrice, AVG SafePrice, Bal: Otomatik Kuponlar ve Ödüller, Letyshops, Megabonus, Aliradar Alışveriş Asistanı, Yandex.market Danışmanı, Chinahelper ve Backlit gibi 100'den fazla nakit geri dönüşü hedeflediğini bildiriyor.
Uzantıların C2 (Komut ve Kontrol) sunucuları ile iletişimi, talimatlar ve komutlar, kurbanın kimliğini belirlemek, hassas verileri püskürtmek ve daha fazlası ile ilgili veri alışverişini içerir.
Bu rapor, web tarayıcısı uzantıları etrafındaki büyük güvenlik sorunlarını vurgulamaktadır; bunların çoğu, hangi davranışı sergilediklerini belirlemeyi zorlaştırmak için çok gizlenmiştir.
Bu nedenle, tarayıcınıza yüklenen uzantıları rutin olarak kontrol etmelisiniz ve başkalarının kötü niyetli davranışlar bildirip bildirmediğini görmek için Chrome Web Store'da yeni incelemeler kontrol etmelisiniz.
2023'ün en iyi VPN hizmetleri
Microsoft: Bilgisayar korsanları yeni yanlış yazılımlarla savunma firmalarını hedeflemek
Yeni Web Enjeksiyonları Kampanyası 50.000 kişiden bankacılık verilerini çalıyor
Rhadamanthys Stealer kötü amaçlı yazılım daha güçlü özelliklerle gelişir
QBOT kötü amaçlı yazılım, misafirperverlik endüstrisini hedefleyen kampanya
Kaynak: Bleeping Computer