WeTab ve Infinity V+ araştırması: kötü amaçlı Chrome/Edge eklentileri ifşa oldu

WeTab ve Infinity V+, siber güvenlik uzmanlarının bu eklentiler ve birkaç başka Chrome uzantısının yıllardır tarayıcıları fark ettirmeden ele geçirip hassas verileri topluyor olabileceğini söylemesinin ardından mercek altında. KOI’nin hesabına göre yaklaşık 4,3 milyon Chrome ve Microsoft Edge kullanıcısı bu kampanyadan etkilendi; saldırganlar oltalama ya da sosyal mühendisliğe değil, hâlihazırda popüler eklentilere sessizce gönderilen güncellemelere yaslandı.

KOI, operasyonu ShadyPanda diye andığı bir gruba bağlıyor. Senaryo yalın ama etkiliydi: eksiksiz çalışan eklentiler yayımlandı, zamanla kitle, değerlendirme ve indirme sayıları büyütüldü; sonra da kötü amaçlı kod taşıyan güncellemeler araya serpiştirildi. Mağazalar ilk sürümleri daha sıkı tararken sonraki değişiklikleri çoğu kez yüzeysel inceleyebildiği için, güvenilir görünen araçlar uzun süre sessizce kalabildi. Bu sabır oyunu, ekosistemin bilinen bir kör noktasını sömürüyor; üstelik kullanıcıların yıldızlara ve yorumlara fazla bel bağlama eğilimini de açığa çıkarıyor.

KOI’nin raporu, 2023’teki iki kampanya dâhil bir dizi olayı sıralıyor. İlkinde, duvar kâğıdı paketleri ve kullanışlı araçlar gibi görünen çok sayıda eklentinin kullanıcı davranışını izlediği ve eBay, Amazon ile Booking.com gibi sitelerde sayfa içeriğini değiştirerek satın alımları ve trafik verilerini paraya çevirmek için affiliate etiketleri ve izleyiciler enjekte ettiği iddia ediliyor. İkinci vakada kötü amaçlı işlevler Infinity V+ ile ilişkilendiriliyor: eklenti aramaları harici bir kaynağa yönlendirdi, tanımlama bilgilerini (çerezleri) ele geçirdi, arama çubuğuna yazılanları kaydetti ve verileri dış sunuculara sızdırdı.

KOI ayrıca “birinci aşama” diye tanımladığı bölümde beş eklentinin uzaktan kod çalıştırmaya izin veren bir arka kapı aldığı ve bunun yaklaşık 300.000 kullanıcıyı etkilediğini belirtiyor. Bazıları 2018–2019’dan beri listeleniyordu ve hatta öneriliyor izlenimi veren rozetler taşıyordu; 2024 ortasında kurulum sayıları yükseldikten sonra arka kapıyı ekleyen bir güncelleme aldıkları ileri sürülüyor. Modül düzenli olarak komut çekebiliyor, rastgele JavaScript indirip tarayıcı API ayrıcalıklarıyla çalıştırabiliyor ve herhangi bir siteye kötü amaçlı HTTPS içerik enjekte edebiliyordu. Ayrıca tarama geçmişi, yönlendiren kaynaklar, zaman damgaları, kalıcı tanımlayıcılar, tam bir tarayıcı parmak izi ve başka verileri toplarken, geliştirici modu açıksa düşük profilde kalmaya çalışıyordu.

Araştırmanın en kapsamlı kısmı “ikinci aşama”ya odaklanıyor. KOI, aynı geliştiriciden gelen başka beş eklentinin Edge mağazasına girdiğini ve toplamda 4 milyonu aştığını, bunlardan ikisinin potansiyel olarak kötü amaçlı yazılım kurulumunu başlatabildiğini söylüyor. En çok dikkat çeken yeni sekme eklentisi WeTab oldu: yaklaşık 3 milyon kurulumla anılıyor ve ziyaret edilen URL’ler, arama sonuçları, fare tıklamaları, tarayıcı parmak izi, sayfa içi etkileşimler ve depolama erişim olayları gibi telemetriyi gizlice gönderdiği belirtiliyor. KOI’ye göre veriler çok sayıda alan adına aktarılıyordu ve güncelleme mekanizması, ele geçirilen tarayıcıların istenen anda daha sonraki saldırılar için kontrol edilebilir düğümlere dönüştürülebilmesi anlamına geliyordu.

Tüm tablo, eklentiler etrafındaki güven modelinin ne kadar kırılgan olduğunu ele veriyor: popüler ve iyi puanlı bir araç, tek bir güncellemeden sonra bambaşka bir şeye dönüşebiliyor. Pratik öneri basit ama önemli: yüklü eklentilerinizi gözden geçirin, ihtiyaç duymadıklarınızı kaldırın, izinleri dikkatle kontrol edin ve tarayıcı garip davranmaya başlarsa bir sistem taraması yapıp parolalarınızı değiştirin; özellikle de bir eklentinin çerezlere ve gezinme geçmişinize erişmiş olma ihtimali varsa. Sonuçta eklenti listesine ara sıra bakmak artık lüks değil, temel siber hijyen.