Koi siber güvenlik araştırmacıları, Chrome, Edge ve Firefox'ta bir Çin casusluk imparatorluğunu ortaya çıkardı. Sabırlı ve metodik bir yapıya sahip olan DarkSpectre grubu, mağazaları görünüşte meşru olan ve aslında verilerinizi emmek için tasarlanmış uzantılarla doldurdu. İşletme, özellikle şirket toplantılarına ilişkin bilgileri hedeflemektedir.
Geçen ay, Koi Güvenlik araştırmacıları 145 Chrome ve Edge uzantısının insanların geçmişini, çerezlerini ve aramalarını emmeyi alışkanlık haline getirdiğini keşfetti. Yedi yıldan fazla süren operasyona uzmanlar tarafından ShadyPanda adı verildi. 5,6 milyondan fazla kullanıcı etkilendi.
Kısa bir süre sonra Çinli araştırmacılar, başlıklı başka bir kötü niyetli kampanyayı ilişkilendirdiler. HayaletPosteraynı kötü niyetli aktöre. Birkaç gün önce uzmanlar, olayın arkasında aynı siber suçlunun da olduğunu tespit etti.üçüncü bir operasyon Google Chrome, Microsoft Edge ve Mozilla Firefox tarayıcılarını hedefliyor.
Ayrıca şunu okuyun: Google tarafından desteklenen bu Chrome uzantısı, ChatGPT, Gemini ve diğer 8 yapay zeka ile olan görüşmelerinizi gözetliyor
Siber suçluların görüş alanında çevrimiçi toplantılar
Koi araştırmacılarının Zoom Stealer adını verdiği bu üçüncü kampanya şunlardan oluşuyor: çevrimiçi toplantılar hakkında bilgi toplayın şirketler tarafından organize ediliyor. Çalınan veriler arasında toplantı URL'si (gömülü şifreyle birlikte), toplantı kimlikleri, konu, açıklama ve katılımcılar tarafından planlanan zaman yer alıyor. Ayrıca isimler, unvanlar/pozisyonlar, biyografiler, profil fotoğrafları, mesleki bağlantılar, şirket logoları ve konuşmacıların oturum meta verileri gibi katılımcı bilgileri de sızdırılır. Tüm bu bilgiler endüstriyel casusluk, istihbarat ve sosyal mühendislik amaçlarıyla toplanmaktadır. Açıkça görülüyor ki veriler, bilgisayar korsanlarının kurbanları manipüle etmesine olanak tanıyor.
Bu casusluk operasyonunun bir parçası olarak Çinli grup, 18 uzantı Chrome, Edge ve Firefox'ta. Koi raporuna göre siber saldırı iki milyondan fazla kişinin hayatına mal oldu. Sabitlenen tüm uzantılar düzgün çalıştı. Koi'ye göre bunlar aletlerdi “Gerçek katma değer getiren işlevsel”bu da İnternet kullanıcılarının tespitini daha da karmaşık hale getirir. Bunlar çoğunlukla video indiriciler, toplantı zamanlayıcıları ve hatta otomatik katılımcı kabul araçlarıdır.. Sabitlenmiş tüm uzantıların listesi:
- Chrome Ses Yakalama
- ZED: Kolay Yakınlaştırma İndiricisi
- X (Twitter) Video İndirici
- Google Meet Otomatik Kabul Etme
- Zoom.us Her Zaman “Web'den Katılın”ı Gösteriyor
- Google Meet için Zamanlayıcı
- CVR: Chrome Video Kaydedici
- GoToWebinar ve GoToMeeting Kayıtlarını İndirin
- Otomatik Kabulle Tanışın
- Google Meet Geliştirme (Emojiler, Metin, Kamera Efektleri)
- Meet'te sesi kapat
- Google Meet Bas-Konuş
- Facebook, Instagram, + için Fotoğraf İndirici
- Yakınlaştırma Kodu Uzantısı
- Google Meet'e Otomatik Katılın
- Kenar Sesi Yakalama
- Twitter X Video İndirici
- x-video indirici
Zoom Stealer ile ilgili tüm uzantılar, uzantı mağazalarından kaybolmadı. Bazıları rapor edilip engellenirken, diğerleri hala kullanılabilir durumdadır. Raporda şu olaya değiniliyor: Chrome Ses Yakalama, görünüşte meşru bir uzantı “Tek başına 800.000'den fazla kuruluma sahip”. Hala Chrome Web Mağazası'nda.
Ayrıca okuyun: Google Chrome'da kırmızı alarm – bilgisayar korsanları tarafından gizemli bir güvenlik açığından yararlanılıyor
28 video konferans uygulaması
Yüklendikten sonra uzantılar erişim istedi “28'den fazla video konferans platformuna”Zoom, Microsoft Teams, Google Meet, Cisco WebEx ve ON24'ten başlayarak. Araştırmacıların açıkladığı gibi, birçok abonenin video konferans hizmetine erişmesinin hiçbir nedeni yok. Video indirme araçlarında durum budur. Benzer şekilde, Google Meet için tasarlanmış bir zamanlayıcının sizden diğer iletişim platformlarına erişmenizi istemesi gerekmez.
Saldırıların tamamı şunlara atfedildi: DarkSpectrereklam sahtekarlığı ve casusluk amacıyla tarayıcı uzantılarının kötüye kullanılması konusunda uzmanlaşmış Çin kökenli bir suç örgütü. Grup çok sayıda uzantıya sahiptir uykuda ve meşru hassas verileri çekmesine olanak sağlayacak kötü amaçlı güncellemeleri dağıtmadan önce yıllarca. Suç grubunun casusluk ve bilgi hırsızlığı için tasarlanmış 300'den fazla uzantısı var.
“DarkSpectre, saldırganlara şunları sunarak büyük ölçekli kimlik hırsızlığı operasyonlarını güçlendirebilecek kapasitede bir veritabanı oluşturdu: gizli çağrılara katılmak için tanımlayıcılar, kimin kimliğine bürünüleceğini bilmek için katılımcı listeleri ve bu sahtekarlıkları inandırıcı kılmak için gerekli tüm bağlamlar”Koi'yi uyarır.
Tarayıcınıza yüklediğiniz uzantılara karşı her zamankinden daha dikkatli olun. Bir uzantıyı yüklemeden önce, uzantı ve geliştiricisi hakkında bilgi edinmek için zaman ayırın. Her zaman incelemelere ve yorumlara bakın.
👉🏻 Teknoloji haberlerini gerçek zamanlı takip edin: 01net'i Google'daki kaynaklarınıza ekleyin ve WhatsApp kanalımıza abone olun.
Bir yanıt yazın