Sahte Google Dokümanlar Çevrimdışı Uzantısı

Sahte Google Dokümanlar Çevrimdışı uzantısı, meşru bir araç gibi görünmek üzere tasarlanmış kötü amaçlı bir tarayıcı eklentisidir. Güvenilir bir Google hizmeti gibi gizlenmiş olsa da, aslında GlassWorm olarak bilinen daha geniş bir siber saldırı kampanyasının parçasıdır. Bu uzantı kullanıcı tarafından doğrudan yüklenmez; bunun yerine, önceden var olan kötü amaçlı yazılımlar tarafından kötü amaçlı bir komut dosyası aracılığıyla sessizce tarayıcıya enjekte edilir. Bir kez yerleştikten sonra, meşru uzantılarla karışarak tespit edilmesini zorlaştırır.

Zincirleme Saldırılar Yoluyla Sessiz Sızma

Bu tehdit, GitHub depoları, npm paketleri ve tarayıcı eklenti mağazaları gibi ele geçirilmiş platformlardan yararlanan karmaşık bir zincirleme saldırı yoluyla yayılıyor. GlassWorm'ün arkasındaki siber suçlular, zararlı kodu görünüşte meşru yazılım projelerine veya güncellemelerine yerleştirerek bunların güvenli görünmesini sağlıyor.

Kullanıcılar virüslü yazılımı yüklediğinde veya güncellediğinde, gizli kod arka planda etkinleşir ve sahte uzantıyı tarayıcıya enjekte eder. Bazı durumlarda, kötü amaçlı yazılım, resmi süreçlere çok benzeyen aldatıcı güncelleme mekanizmaları aracılığıyla yayılır ve bu da başarılı enfeksiyon olasılığını daha da artırır.

Tam Tarayıcı Gözetimi ve Veri Toplama

Yüklendikten sonra, sahte eklenti uzaktan yönetim Truva atı (RAT) olarak çalışır ve saldırganlara tarayıcı etkinliği üzerinde kapsamlı kontrol sağlar. Aşağıdakiler de dahil olmak üzere çok çeşitli hassas bilgileri toplayabilir:

• Klavye tuş vuruşları, oturum açma kimlik bilgileri ve form girişleri dahil.
• Web sitelerinden alınan çerezler ve aktif oturum verileri
• Aktif tarayıcı sekmelerinin tam kodu
• Açık sayfaların ekran görüntüleri
• Pano içeriği ve kaydedilmiş yer işaretleri
• Tarama geçmişi (en fazla 5000 kayıt)
• Cihaz ve tarayıcı ayrıntıları, donanım ve GPU/WebGL verileri dahil.
• Yüklenmiş tarayıcı eklentileri hakkında bilgi

Toplanan tüm veriler paketlenerek siber suçlulara iletilir ve bu durum genellikle mağdur için hiçbir görünür belirti bırakmaz.

Kişisel ve Kurumsal Güvenlik Açısından Ciddi Sonuçlar

Bu kötü amaçlı eklentinin sağladığı erişim düzeyi, çok çeşitli hassas verileri riske atıyor. Özel e-postalar, mesajlar, belgeler ve diğer kişisel bilgiler açığa çıkabilir. Özellikle finansal faaliyetler, çevrimiçi bankacılık oturumları, ödeme bilgileri ve tarayıcı üzerinden erişilen kripto para hesapları da dahil olmak üzere, büyük ölçüde savunmasızdır.

Saldırganlar bu verileri hesapları ele geçirmek, fonları çalmak, kullanıcı kimliğine bürünmek ve daha birçok kötü amaçlı işlem gerçekleştirmek için kullanabilirler. Bir iş cihazına yüklendiğinde, etkisi tam ölçekli bir kurumsal güvenlik ihlaline dönüşebilir ve potansiyel olarak iç sistemleri ve gizli iş verilerini tehlikeye atabilir.

Tarayıcı Yönetim Kontrollerinin Kötüye Kullanılması

Casusluk yeteneklerinin yanı sıra, bu eklenti tarayıcının 'Kuruluşunuz tarafından yönetiliyor' özelliğini de manipüle ediyor. Normal şartlar altında, bu ayar bir tarayıcının kurumsal bir ortam gibi resmi bir yönetici tarafından kontrol edildiğini gösterir.

Bu özelliği kötüye kullanarak, kötü amaçlı yazılım kullanıcı kontrolünü kısıtlayabilir, standart kaldırma yöntemlerini engelleyebilir ve tarayıcı ayarlarına erişimi sınırlayabilir. Bu taktik, zararlı eklentinin kalıcılığını korumasına ve uzun süre tespit edilmeden kalmasına yardımcı olur.

Sürekli ve Yüksek Riskli Bir Tehdit

Sahte Google Docs Çevrimdışı uzantısı, kendini gizleme, kullanıcı etkinliğini izleme ve son derece hassas verileri çalma yeteneği nedeniyle ciddi bir siber güvenlik riski oluşturmaktadır. Gizli kurulum yöntemleri ve kalıcılık mekanizmaları onu özellikle tehlikeli hale getirmektedir.

Tespit edilmesi halinde, devam eden veri hırsızlığını ve potansiyel uzun vadeli güvenliğin önlenmesi için uzantı ve ilgili tüm kötü amaçlı bileşenler derhal kaldırılmalıdır.