Infostealer Chrome Uzantıları

Güvenlik analistleri, Meta Business ortamlarından hassas verileri toplamak üzere tasarlanmış kötü amaçlı bir Google Chrome eklentisi tespit etti. @CLMasters tarafından geliştirilen CL Suite adlı eklenti, Meta Business Suite ve Facebook Business Manager kullanıcıları için bir verimlilik aracı olarak tanıtılıyor. İş verilerini kazımak, doğrulama istemlerini atlamak ve iki faktörlü kimlik doğrulama (2FA) kodları oluşturmak için bir yardımcı program olarak tanıtılan eklenti, 1 Mart 2025'te Chrome Web Mağazası'nda yayınlandı.

Gizlilik politikasında 2FA sırlarının ve İşletme Yöneticisi verilerinin yerel ortamla sınırlı kaldığı iddiasına rağmen, teknik analiz farklı bir gerçeği ortaya koyuyor. Eklenti, meta.com ve facebook.com alan adları üzerinde kapsamlı izinler talep ediyor ve hassas bilgileri gizlice saldırganın kontrolündeki altyapıya iletiyor.

Gizli Veri Sızdırma Yetenekleri

Bu eklenti, kimliği doğrulanmış Meta oturumlarından yüksek değerli verileri sessizce toplar ve dışa aktarır. Sızdırılan bilgiler, getauth[.]pro adresinde barındırılan bir arka uca gönderilir; ayrıca, aynı yüklerin tehdit aktörü tarafından işletilen bir Telegram kanalına iletilmesi için isteğe bağlı bir mekanizma da mevcuttur.

Eklentinin veri toplama işlevlerinin tam kapsamı şunları içerir:

• Meta ve Facebook İşletme hesaplarını güvence altına almak için kullanılan TOTP tohumlarının ve aktif 2FA kodlarının çalınması.
• İşletme Yöneticisi 'Personel' verilerinin çıkarılması ve adlar, e-posta adresleri, atanmış roller, izin düzeyleri ve erişim durumlarını içeren CSV dosyalarına derlenmesi.
• İşletme Yöneticisi varlıklarının ve bunlarla bağlantılı varlıkların listelenmesi; reklam hesapları, ilişkili sayfalar, varlık bağlantıları, faturalama yapılandırmaları ve ödeme ayrıntıları dahil.

Eklenti doğrudan şifreleri ele geçirmese de, saldırganlar çalınan zamana dayalı tek kullanımlık şifreleri bilgi hırsızlığı kayıtlarından veya sızdırılmış veritabanlarından elde edilen kimlik bilgileriyle birleştirerek yetkisiz hesap erişimi sağlayabilirler.

Güvenlik araştırmacıları, nispeten küçük bir kurulum tabanıyla bile elde edilen istihbaratın, yüksek değerli kurumsal hedefleri belirlemek ve takip eden saldırıları kolaylaştırmak için yeterli olduğu konusunda uyarıyor.

Veri Kazıma, Verimlilik Gibi Görünüyor

CL Suite örneği, dar kapsamlı tarayıcı eklentilerinin agresif veri toplama faaliyetlerini meşru iş akışı iyileştirmeleri gibi nasıl gizleyebileceğini göstermektedir. İletişim bilgisi çıkarma, analiz verisi toplama, doğrulama açılır pencerelerini engelleme ve tarayıcı içi 2FA oluşturma gibi özellikler tarafsız araçlar değildir. Bunun yerine, kimlik doğrulaması yapılmış Meta iş arayüzlerinden doğrudan iletişim listelerini, meta verileri ve kimlik doğrulama materyallerini çekmek için tasarlanmış özel amaçlı veri çekme araçları olarak işlev görürler.

Bu tür uzantılar, güvenilir iş akışlarına entegre olarak kullanıcı şüphelerini ortadan kaldırır ve aktif oturumların güvenlik sınırları içinde çalışır.

AiFrame Kampanyası: Yapay Zeka Asistanları Veri Vekillerine Dönüştü

AiFrame adı verilen ayrı ancak koordineli bir kampanyada, araştırmacılar özetleme, sohbet, yazma desteği ve Gmail verimliliği için yapay zeka destekli asistanlar olarak pazarlanan 32 tarayıcı eklentisini ortaya çıkardı. Bu eklentilerin toplamda 260.000'den fazla kurulumu bulunuyor.

Görünüşte meşru olsalar da, bu uzantılar uzaktan, sunucu tabanlı bir mimariye dayanmaktadır. Verileri yerel olarak işlemek yerine, claude.tapnetic[.]pro alan adına bağlanan tam ekran iframe katmanları yerleştirirler. Bu tasarım, operatörlerin Chrome Web Mağazası üzerinden güncelleme yayınlamadan dinamik olarak yeni özellikler eklemelerini sağlar.

Bu uzantılar devreye alındıktan sonra, tarayıcı ile uzak altyapı arasında ayrıcalıklı aracı görevi görürler. Tetiklendiklerinde, aktif sekmeyi incelerler ve Mozilla'nın Readability kütüphanesini kullanarak makale içeriğini çıkarırlar. Ek yetenekler arasında konuşma tanıma başlatma ve yakalanan transkriptleri harici sunuculara iletme yer alır.

Uzantıların bir alt kümesi özellikle Gmail'i hedef almaktadır. Kullanıcılar mail.google.com adresine erişip yapay zeka destekli yanıt veya özetleme özelliklerini etkinleştirdiklerinde, görünür e-posta içeriği doğrudan belge nesne modelinden (DOM) çıkarılır ve operatörler tarafından kontrol edilen üçüncü taraf arka uç sistemlerine iletilir. Sonuç olarak, e-posta içeriği ve bağlamsal meta veriler, kullanıcının açıkça haberdar olmadığı bir şekilde Gmail'in korumalı ortamının ötesine, uzak sunuculara aktarılabilir.

Büyük Ölçekli Uzantı Kötüye Kullanımı ve Veri Aracılığı

Tarayıcı uzantılarının kötüye kullanımı, münferit kampanyalarla sınırlı değil. Araştırmacılar ayrıca, toplamda 37,4 milyon kez yüklenmiş (küresel Chrome kullanıcı tabanının yaklaşık %1'i) ve tarama geçmişlerini veri aracılarına sızdıran 287 Chrome uzantısı tespit etti.

Önceki araştırmalar, Similarweb ve Alexa gibi şirketlerin topladıkları internet tarama verilerini nasıl bir araya getirip paraya çevirdiklerini göstermiştir. Bu bulgular, uzantı tabanlı gözetimin ne kadar geniş bir ölçekte işleyebileceğinin altını çizmektedir.

Kötü Amaçlı Uzantılara Karşı Savunmayı Güçlendirmek

Giderek artan tehdit ortamı göz önüne alındığında, kuruluşlar ve bireysel kullanıcılar disiplinli uzantı yönetimi uygulamalarını benimsemelidir. Etkili savunma önlemleri şunları içerir:

• Resmi pazar yerlerinden yalnızca gerekli ve iyi değerlendirilmiş eklentileri yükleyin.
• Yüklenen eklentilerin periyodik olarak denetlenmesi yoluyla aşırı izinlerin veya anormal davranışların tespit edilmesi.

• Hassas işlemler için ayrı tarayıcı profilleri kullanma

• Yetkisiz veya uyumsuz eklentileri engellemek için kurumsal ortamlarda uzantı izin listesi uygulamasının hayata geçirilmesi

Tarayıcı uzantıları, güvenilir oturumlar içinde önemli ayrıcalıklarla çalışır. Sıkı bir denetim olmadan, veri sızdırma ve kimlik bilgilerinin ele geçirilmesi için güçlü kanallar haline gelebilirler.