8.8 Milyon Kullanıcı DarkSpectre Saldırısıyla Etkilendi: Tarayıcı Uzantısı Kötü Amaçlı Yazılım

DarkSpectre Saldırısı: Milyonlarca Kullanıcı Etkisi Altında

Siber suçlular, Chrome, Edge ve Firefox kullanıcılarını hedef alan uzun süreli bir kampanyada 8.8 milyon kullanıcıyı etkileyen tarayıcı uzantısı kötü amaçlı yazılımı aracılığıyla gizlice casusluk yaptı. Koi Security analistleri tarafından yapılan araştırmalar, ShadyPanda adlı bir kampanya ile bağlantılı şüpheli altyapıyı analiz ederken bu tehdidi ortaya çıkardı. Bu analiz, daha büyük bir operasyonun varlığını ortaya çıkardı ve şimdi DarkSpectre olarak biliniyor.

DarkSpectre Operasyonunun Yöntemleri

DarkSpectre grubu, kötü amaçlı kodu pazarlara hızla sokmak yerine uzun vadeli bir strateji izledi. Uzantılar, yıllarca meşru görünerek kullanıcıların güvenini kazandıktan sonra sessizce kötü amaçlı hale geldi. Bu yaklaşım, DarkSpectre’nin uzun süre tespit edilmeden faaliyet göstermesini sağladı.

ShadyPanda Kampanyası

ShadyPanda kampanyası, kitlesel gözetim ve bağlı ortaklığı hedefliyordu. Araştırmacılar, bu kampanyanın 4 milyondan fazla kullanıcıyı etkilediğini tahmin ediyor ve ek ilgili uzantılar bağlandıkça bu sayının 5.6 milyona kadar çıkabileceğini belirtiyor.

GhostPoster Kampanyası

GhostPoster kampanyası, kötü amaçlı kodu görüntü dosyalarının içine gizleyerek güvenlik kontrollerinden kaçmayı başardı. Bu kampanya 1.05 milyon kullanıcıyı etkiledi.

Zoom Stealer Kampanyası

Zoom Stealer operasyonu, 28’den fazla konferans platformunda kurumsal toplantı verilerini hedef aldı ve 2.2 milyon kullanıcıyı etkiledi. Bu kampanya, diğerlerinden farklı olarak istihbarat toplama odaklıydı.

Koi Security’nin Keşfi

Koi Security analistleri, ShadyPanda ile ilişkili iki alanı inceleyerek DarkSpectre’in gizli ağını ortaya çıkardı. Bu alanlar, meşru uzantı özellikleri gibi hava durumu widget’ları ve yeni sekmeler için kullanılıyordu. Ancak, aynı alanlar daha sonra tamamen farklı kötü amaçlı altyapılara bağlanan diğer uzantılarda da tekrar ortaya çıktı. Bu zinciri takip ederek, Koi analistleri birden fazla tarayıcı pazarında 100’den fazla bağlantılı uzantıyı tespit etti. Bu durum, DarkSpectre’in ulus devlet seviyesinde faaliyet gösterdiğini gösterdi.

DarkSpectre’in Gizli Kalma Yöntemleri

• Meşru İşlevsellik ile Kötü Amaçlı Yazılımı Birleştirme: Kullanıcılar bekledikleri işlevselliği alırken, kötü amaçlı yazılım arka planda sessizce çalışıyordu.
• Zaman Geciktirmeli Aktivasyon: Bazı uzantılar, kötü amaçlı davranışlarını etkinleştirmeden önce günler bekledi.
• Sınırlı Sayıda Sayfa Yüklemesinde Tetikleme: Kötü amaçlı kod, yalnızca sayfa yüklemelerinin küçük bir yüzdesinde etkinleştirildi.
• JavaScript’i Görüntü Dosyalarına Gizleme: Kötü amaçlı JavaScript kodu, PNG görüntü dosyalarının içine gizlendi.
• Sunucu Tabanlı Kontrol: DarkSpectre, uzantaların davranışını değiştirmek için sunucularını kullandı, bu da kullanıcıları veya pazarları uyarmadan değişiklik yapmalarını sağladı.

Zoom Stealer Kampanyasının Önemi

Zoom Stealer kampanyası, diğer kötü amaçlı yazılımların aksine, tüketici dolandırıcılığı yerine istihbarat toplama üzerine odaklandı. Koi analistlerine göre, bu uzantılar toplantı kayıtlarını ve diğer hassas verileri topladı.

“Bu, sadece bir tarayıcı uzantısı değil, aynı zamanda ulus devlet seviyesinde bir operasyonun göstergesi,” dedi Koi Security analistlerinden biri.

Haberin Diğer Kareleri