Siber güvenlik araştırmacıları, aynı geliştirici tarafından yayınlanan ve aynı adı taşıyan, trafiği engelleme ve kullanıcı kimlik bilgilerini ele geçirme yeteneklerine
sahip iki kötü amaçlı Google Chrome uzantısı keşfetti .
Bu eklentiler, geliştiriciler ve dış ticaret personeli için "çoklu konum ağ hızı testi eklentisi" olarak tanıtılıyor. Her iki tarayıcı eklentisi de bu yazının yazıldığı an itibariyle indirilebilir durumda. Eklentilerin detayları aşağıdaki gibidir:
- Phantom Shuttle (ID: fbfldogmkadejddihifklefknmikncaj) - 2.000 kullanıcı (Yayınlanma tarihi: 26 Kasım 2017)
- Phantom Shuttle (ID: ocpcmfmiidofonkbodpdhgddhlcmcofd) - 180 kullanıcı (Yayınlanma tarihi: 27 Nisan 2023)
Socket güvenlik araştırmacısı Kush Pandya, "Kullanıcılar, meşru bir VPN hizmeti satın aldıklarına inanarak 9,9 ile 95,9 Çin Yuanı (1,40 ile 13,50 ABD Doları) arasında değişen abonelik ücretleri ödüyorlar, ancak her iki varyant da aynı kötü amaçlı işlemleri gerçekleştiriyor" dedi.
"Abonelik görünümünün ardında, uzantılar kimlik doğrulama kimlik bilgilerinin enjekte edilmesi yoluyla trafiğin tamamen engellenmesini gerçekleştirir, ortadaki adam proxy'leri olarak çalışır ve kullanıcı verilerini sürekli olarak tehdit aktörünün komuta ve kontrol sunucusuna sızdırır."
Kullanıcılar ödemeyi yaptıktan sonra VIP statüsü kazanıyor ve eklentiler otomatik olarak "akıllı" proxy modunu etkinleştiriyor; bu mod, 170'ten fazla hedef alan adından gelen trafiği C2 altyapısı üzerinden yönlendiriyor.
Bu eklentiler, işlevsel bir ürün yanılsamasını güçlendirmek için reklamda belirtildiği gibi çalışır. Proxy sunucularında gerçek gecikme testleri yaparlar ve bağlantı durumunu gösterirler; ancak kullanıcıları asıl amaçları olan ağ trafiğini ele geçirme ve kimlik bilgilerini çalma konusunda karanlıkta bırakırlar.
Bu, uzantılarla birlikte gelen iki JavaScript kütüphanesine, yani jquery-1.12.2.min.js ve scripts.js dosyalarına kötü amaçlı değişiklikler eklenmesini içerir. Kod, chrome.webRequest.onAuthRequired üzerinde bir dinleyici kaydederek tüm web sitelerindeki her HTTP kimlik doğrulama sorgusuna otomatik olarak önceden tanımlanmış proxy kimlik bilgilerini (topfany / 963852wei) enjekte etmek üzere tasarlanmıştır.
"Herhangi bir web sitesi veya hizmet HTTP kimlik doğrulaması (Temel Kimlik Doğrulama, Özet Kimlik Doğrulama veya proxy kimlik doğrulaması) istediğinde, bu dinleyici tarayıcı kimlik bilgisi istemini göstermeden önce tetiklenir," diye açıkladı Pandya. "Hemen, kullanıcı için tamamen şeffaf bir şekilde, önceden tanımlanmış proxy kimlik bilgileriyle yanıt verir. asyncBlocking modu, senkronize kimlik bilgisi enjeksiyonunu sağlayarak herhangi bir kullanıcı etkileşimini önler."
Kullanıcılar bir proxy sunucusunda kimlik doğrulamasını tamamladıktan sonra, uzantı , üç modu uygulamak için bir Proxy Otomatik Yapılandırma ( PAC ) komut dosyası kullanarak Chrome'un proxy ayarlarını yapılandırır :
Kapat seçeneği, proxy özelliğini devre dışı bırakır.
her zaman, tüm web trafiğini proxy üzerinden yönlendirir.
Smarty, 170'ten fazla yüksek değerli alan adından oluşan önceden belirlenmiş bir listeyi proxy üzerinden yönlendiren bir araçtır.
Listede geliştirici platformları (GitHub, Stack Overflow, Docker), bulut hizmetleri (Amazon Web Services, Digital Ocean, Microsoft Azure), kurumsal çözümler (Cisco, IBM, VMware), sosyal medya (Facebook, Instagram, Twitter) ve yetişkin içerikli siteler yer alıyor. Socket'in teorisine göre, pornografik sitelerin dahil edilmesi muhtemelen kurbanlara şantaj yapma girişimidir.
Bu davranışın net sonucu, kullanıcı web trafiğinin tehdit aktörleri tarafından kontrol edilen proxy'ler üzerinden yönlendirilmesi, uzantının ise phantomshuttle[.]space alan adındaki C2 sunucusuna 60 saniyelik bir sinyal göndermeye devam etmesidir; bu alan adı sürekli olarak çalışır durumdadır. Ayrıca saldırgana trafiği yakalamak, yanıtları manipüle etmek ve rastgele zararlı yazılımlar enjekte etmek için "ortadaki adam" (MitM) pozisyonu sağlar.
Daha da önemlisi, kalp atışı mesajı, sürekli kimlik bilgisi sızdırma ve oturum izleme amacıyla, VIP kullanıcının e-posta adresini, şifresini düz metin olarak ve sürüm numarasını her beş dakikada bir HTTP GET isteğiyle harici bir sunucuya iletir.
Socket'in açıklamasına göre, "Kalp atışı verisi sızdırma (kimlik bilgileri ve meta veriler) ve proxy MitM (gerçek zamanlı trafik yakalama) kombinasyonu, uzantı aktif kaldığı sürece sürekli çalışan kapsamlı veri hırsızlığı yetenekleri sağlıyor."
Başka bir deyişle, bu eklenti, VIP modu aktifken hedef alan adlarına erişen kullanıcılardan şifreleri, kredi kartı numaralarını, kimlik doğrulama çerezlerini, tarama geçmişini, form verilerini, API anahtarlarını ve erişim belirteçlerini ele geçiriyor. Dahası, geliştirici sırlarının çalınması, tedarik zinciri saldırılarının önünü açabilir.
Sekiz yıldır faaliyet gösteren bu operasyonun arkasında kimin olduğu şu anda bilinmiyor, ancak uzantı açıklamasında Çince dilinin kullanılması, ödeme yapmak için Alipay/WeChat Pay entegrasyonunun bulunması ve C2 alan adını barındırmak için Alibaba Cloud'un kullanılması, Çin merkezli bir operasyona işaret ediyor.
Socket, "Abonelik modeli, gelir elde ederken mağdurların bağlılığını sağlıyor ve ödeme entegrasyonuna sahip profesyonel altyapı, meşruiyet görüntüsü sunuyor," dedi. "Kullanıcılar, farkında olmadan trafiğin tamamen tehlikeye atılmasını sağlarken bir VPN hizmeti satın aldıklarına inanıyorlar."
Bulgular, tarayıcı tabanlı uzantıların işletmeler için nasıl yönetilemeyen bir risk katmanı haline geldiğini vurgulamaktadır. Uzantıları yüklemiş olan kullanıcıların bunları en kısa sürede kaldırmaları önerilir. Güvenlik ekipleri için, uzantı izin listesi oluşturmak, abonelik ödeme sistemleriyle birlikte proxy izinlerini kullanan uzantıları izlemek ve şüpheli proxy kimlik doğrulama girişimleri için ağ izleme uygulamak çok önemlidir.
Kaynak : https://thehackernews.com/2025/12/two-chrome-extensions-caught-secretly.html
