Google'ın tarayıcının ilk sürümünü yayınlamasından bu yana son 17 yıl içinde kötü niyetli krom uzantılardan adil payımızı gördük. Sahte VPN uzantılarından ve açık kötü amaçlı uzantılardan sofistike oturum tekrar oynatma kötü amaçlı yazılımlara kadar.
Bu olan buydu:Şu anda vahşi doğada kullanıcılara saldırmak için polimorfik uzantı adı verilen yeni bir kötü niyetli uzantı türü kullanılmaktadır.
Polimorfik uzantı nedir?Kullanıcı verilerini çalmak için diğer uzantıların simgesini ve davranışını taklit eden kötü niyetli bir uzantı.
Polimorfik uzantılar ilk bakışta meşru uzantılar gibi davranır. Bazı işlevsellik sağlayan zararsız uzantılara benziyorlar. Gerçek amaçları, veri çalmak için kullanıcının tarayıcısına yüklenen diğer uzantıları taklit etmektir.
İLGİLİ:Bilgisayar korsanları milyonlarca authy 2fa telefon numaralarını çalıyor
Kullanıcı verilerine erişmek için sahte diğer uzantılar
Güvenlik araştırmacılarıSquarex Labsyeni kötü amaçlı yazılım türünü keşfetti. Temel süreç her zaman aynıdır. Meşru görünümlü, ancak kötü niyetli krom uzantısının kurulumu ile başlar. Bu, resmi Chrome web mağazası veya diğer kanallar aracılığıyla gerçekleşebilir.
Uzatma, kullanıcıyı simgesini Chrome araç çubuğuna sabitlemesini ister. Birçok uzatma, işlevselliğe daha hızlı erişim sağladığı için bunu talep eder.
Uzatma reklamı yapıldığı gibi çalışırken, kullanıcı tarafından yüklenen yüksek değerli uzantıları tarar. Bunlar şifre yöneticileri, finansal uzantılar veya değerli verilere erişim sağlayabilecek herhangi bir uzantı türü olabilir.
Chrome, uzantıların diğer yüklü uzantıları numaralandırmasını önlerken, bu sınırlamaların üstesinden gelmek için teknikler mevcuttur. Araştırmacılara göre, hedef uzantıların kullandığı belirli web kaynaklarını kontrol etmektir.
Uzantılar bulunduktan sonra, meşru uzantıyı taklit etmek için kötü amaçlı kod yürütülür. Araştırmacılar, saldırıya uğrayan bir şifre yöneticisi uzantısı örneği veriyor.
Kullanıcı bir web sayfasını oturum açma formuna sahip bir web sayfasını ziyaret ettiğinde, kötü niyetli uzantı şifre yöneticisini geçici olarak devre dışı bırakır ve Chrome araç çubuğundaki şifre yöneticileri simgesini taklit eder. Bir HTML istemi, şifre yöneticisine şifre yöneticisinden gelmiş gibi görünen yeni bir giriş ister.
Kullanıcı kimlik doğrulama bilgilerini girdiğinde, tehdit oyuncusuna aktarılır. Kötü niyetli uzantı simgesini tekrar değiştirir ve şifre yöneticisini tekrar etkinleştirir. Yeniden etkinleştirildiğinde, meşru şifre yöneticisi, kullanıcıyı imzalamak için şifre alanlarını doldurur ve ne olduğunu tespit etmeyi zorlaştırır.
Eldeki kimlik bilgileri ile, tehdit oyuncusu veri elde etmek için kullanıcının şifre kasasına erişebilir.
Araştırmacılar, polimorfik uzantılar kullanılarak yürütülebilecek birkaç temel saldırıyı vurgular:
- Kripto cüzdanları kullanarak kripto para birimlerinin yetkisiz aktarımı
- Bankacılık uygulamalarını kullanarak yetkisiz işlemler
- Verimlilik araçlarıyla gizli belgeleri/ e -postaları izlemek, yazmak ve göndermek için yetkisiz erişim (örneğin dilbilgisi dama, otomasyon araçları)
- Geliştirici Araçları aracılığıyla kod tabanını okumaya ve değiştirmeye yetkisiz erişim
Squarex, Google'a bu yeni kötü niyetli uzantı türü hakkında bilgi verdi. Polimorfik uzantılara karşı doğrudan bir savunma olmasa da, kullanıcılar krom uzantıları yüklemeden önce doğrulayabilirler.
Başka bir seçenek, farklı etkinlikler için farklı profiller ve hatta tarayıcılar kullanmaktır. En yüksek güvenliği talep eden görevler için bir tarayıcı veya profil kullanın. Bu, güvenliği artırmak için etkinliği normal tarama oturumlarından ayırır.
Şimdi sıra sende. Uzantıları yüklemeden önce doğruluyor musunuz? Aşağıdaki yorum bölümünde bize bildirin.