Uzantılar, uzun süredir devam eden bir reklam dolandırıcılığı ve kötü amaçlı reklamcılık ağının bir parçasıydı.

Araştırmacılar Perşembe günü yaptığı açıklamada, Google Chrome web mağazası’ndan milyonlarca kez indirilen 500’den fazla tarayıcı eklentisinin gizli tarama verilerini bir sunucuya depoladığı söylendi.

Uzantılar, bağımsız araştırmacı Jamila Kaya tarafından keşfedilen, uzun süredir devam eden kötü amaçlı reklam ve dolandırıcılık planının bir parçasıydı. O ve Cisco’ya ait Duo Security’den araştırmacılar sonunda 1.7 milyondan fazla yüklemeye sahip 71 Chrome Web Mağazası uzantısını belirlediler. Araştırmacılar bulgularını Google’a özel olarak bildirdikten sonra şirket 430’dan fazla ek uzantı tespit etti. Google o zamandan beri bilinen tüm uzantıları kaldırdı.

Kaya ve Duo Güvenlik araştırmacısı Jacob Rickerd bir raporda , “Burada bildirilen durumda, Chrome uzantı içerik oluşturucuları, temelde reklam işlevselliğini kullanıcılardan gizleyen uzantılar yapmıştı .” “Bu, tarayıcı istemcilerini bir komut ve kontrol mimarisine bağlamak, kullanıcıların bilgisi olmadan özel tarama verilerini genişletmek, kullanıcıyı reklam akışları aracılığıyla istismar riskine maruz bırakmak ve Chrome Web Mağazası’nın sahtekarlık tespit mekanizmalarından kaçınmaya çalışmak için yapıldı .”

Bir Yönlendirme, Zararlı Yazılım ve Daha Fazlası

Uzantılar çoğunlukla çeşitli tanıtım ve hizmet olarak reklam yardımcı programları sağlayan araçlar olarak sunuldu. Aslında, enfekte olmuş tarayıcıları kabataslak alanlardan oluşan bir labirent aracılığıyla karıştırarak reklam sahtekarlığı ve kötü amaçlı reklamlarla uğraştılar.   Her eklenti ilk önce eklentiyle aynı adı kullanan bir etki alanına bağlandı (örneğin: Mapstrek [.] Com veya ArcadeYum [.] Com), kendilerini kaldırıp kaldırmamaya ilişkin talimatları kontrol edin. Eklentiler daha sonra ek talimatlar, veri yüklenecek yerler, reklam feedleri ve gelecekteki yönlendirmeler için farklı sabit etki alanı kullanan bir sunucuya bağlandı. Etkilenen tarayıcılar daha sonra kullanıcı verilerini yükledi, eklenti yapılandırmalarını güncelledi ve bir site yönlendirmesi akışı üzerinden aktı.

Perşembe günkü rapora şöyle devam etti ;

Kullanıcı, gruplar halinde oluşturulduklarından, aynı gün ve saatte daha önceki alan adlarının çoğunun oluşturulduğu düzenli olarak yeni yönlendirici alanlarını alır. 
Hepsi aynı şekilde çalışır, ana makineden sinyal alır ve ardından bunları bir dizi reklam akışına ve daha sonra meşru ve gayri meşru reklamlara gönderir. 
Bunlardan bazıları IOC’lerin “Son alan adları” bölümünde listelenmiştir, ancak bunlar listelemek için çok fazladır.

500 eklentinin her biri farklı gibi görünse de, benzersiz olan işlev adları hariç, hepsi neredeyse aynı kaynak kodunu içeriyordu. Kaya , Chrome uzantılarının güvenliğini değerlendirmek için bir araç olan CRXcavator yardımıyla kötü amaçlı eklentileri keşfetti . Duo Security tarafından geliştirildi ve  geçen yıl açık kaynak olarak sunuldu . Eklentilerin neredeyse hiçbirinin kullanıcı derecelendirmesi yok, araştırmacıları uzantıların nasıl yüklendiğinden tam olarak emin olmayan bir özellik. Google, araştırmacılara bulgularını bildirdikleri için teşekkür etti.

Share:

Leave a reply

Your email address will not be published. Required fields are marked *