Koi Security, “DarkSpectre” adını verdiği tek bir tehdit aktörünün, yedi yılı aşkın sürede tarayıcı eklentileri üzerinden en az 8,8 milyon kullanıcıyı hedef alan üç ayrı kampanyayı yönettiğini ortaya çıkardı. Bu zincirin en yenisi, 2,2 milyon Chrome, Edge ve Firefox kullanıcısının çevrim içi toplantı bilgilerini toplayan “Zoom Stealer” kampanyası. Araştırmaya göre hepsi masum görünümlü ve işe yarayan eklentiler; yorumları iyi, puanları yüksek. Arka planda ise toplantı URL’leri, gömülü şifreler, toplantı kimlikleri, başlıklar ve katılımcı listeleri gerçek zamanlı olarak WebSocket bağlantılarıyla dışarı aktarılıyor. Öne çıkan eklentiler arasında “Chrome Audio Capture” ve “Twitter X Video Downloader” da var. Bu yapı, doğrudan kurumsal casusluğa hizmet eden bir “toplantı istihbaratı” altyapısı gibi çalışıyor.
Üç ayaklı operasyonun resmi
- ShadyPanda (5,6 milyon): Eklentiler yıllarca sorunsuz çalışıp güven topladı, ardından 2024’te gelen güncellemelerle casus yazılıma dönüştü. Uzaktan kod çalıştırma yeteneğiyle her saat komut sunucusunu yoklayıp tarayıcıda keyfi JavaScript çalıştırabiliyorlardı. “Clean Master” gibi kimi eklentiler Chrome Web Store’da “Featured” ve “Verified” rozetleri bile almıştı. Microsoft Edge tarafında ise WeTab gibi eklentiler milyonlara ulaştı; Microsoft daha sonra zararlı olduğu tespit edilen eklentileri mağazadan kaldırdığını açıkladı.
- GhostPoster (1,05 milyon): Özellikle Firefox’u hedef aldı. Kötü amaçlı JavaScript, eklenti simgelerindeki PNG dosyalarına gizlendi; birkaç gün “uyuyan” eklentiler daha sonra etkinleşti. Aynı altyapı Opera’daki “Google Translate” isimli bir eklentiyle de bağlantılandırıldı; bu eklentinin kurulum sayısı neredeyse 1 milyona ulaşıyor.
- Zoom Stealer (2,2 milyon): Toplantı ve webinar sayfalarına girdiğinizde, eklenti sayfadaki verileri anlık olarak topluyor: toplantı linkleri, gömülü parolalar, tarih-saat, konuşmacıların ad/ünvan/biyografi bilgileri ve daha fazlası. Hedef listesi Zoom, Microsoft Teams, Google Meet ve Webex dahil 28+ platformu kapsıyor.
ShadyPanda’nın önce yıllarca temiz davranıp sonra tek güncellemeyle kullanıcı tabanını silahlandırması, mağaza denetim süreçlerinin zafiyetini bir kez daha gündeme taşıdı. Koi, ShadyPanda’ya bağlı 100’den fazla eklentiyi aynı kümeye bağladığını; bunların bir kısmının hâlâ uyuyan, ileride kötü amaçlı güncellemeyle “açılabilecek” eklentiler olduğunu belirtiyor.
Toplam tablo net: Bu üç kampanya tesadüfi değil; aynı oyuncunun yıllara yayılan, sabırlı ve iyi finanse edilen bir operasyonu. Amaç da değişken: arama sorgularını yönlendirme ve veri toplama, e-ticaret sahtekârlığı ve sonunda kurumsal toplantı istihbaratı.
Ne yapmalı?
- Şüpheli eklentileri tarayıcınızın eklenti yönetim ekranından el ile kaldırın ve tarayıcı eşitleme verilerini temizleyin.
- Özellikle e-posta, banka ve iş hesaplarınızın parolalarını yenileyin; mümkünse parola yöneticisi kullanın.
- Eklenti kurarken verdiği izinleri mutlaka kontrol edin; “toplantı zamanlayıcı” gibi görünen bir eklentinin 20’den fazla video konferans servisine erişim istemesi kırmızı bayraktır.
Görünürde faydalı olan eklentilerin yıllar sonra “karar değiştirmesi” yeni bir durum değil; fakat DarkSpectre, ölçek ve hedefleriyle işi başka bir seviyeye taşımış durumda. Kurumsal kullanıcılar başta olmak üzere herkesin eklenti hijyenine daha sıkı yaklaşması şart.
Kaynak: www.techspot.com