McAfee’deki tehdit analistleri, kullanıcıların göz atma etkinliğini izleyen beş Google Chrome uzantısı buldu. Toplu olarak, uzantılar 1,4 milyondan fazla kez indirildi.
Kötü amaçlı uzantıların amacı, kullanıcıların e-ticaret sitesini ne zaman ziyaret ettiğini izlemek ve ziyaretçinin çerezini, bir yönlendirme bağlantısı üzerinden gelmiş gibi görünecek şekilde değiştirmektir. Bunun için, uzantıların yazarları, elektronik mağazalardaki herhangi bir satın alma işlemi için bir ortaklık ücreti alırlar.
McAfee araştırmacılarının keşfettiği beş kötü amaçlı uzantı şunlardır:
- Netflix Partisi (mmnbenehknklpbendgmgngeaignppnbe) – 800.000 indirme
- Netflix Partisi 2 (flijnhifgdcbhglkneplegafminjnhn) – 300.000 indirme
- Tam Sayfa Ekran Görüntüsü Yakalama – Ekran Görüntüsü Alma (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200.000 indirme
- FlipShope – Fiyat Takip Uzantısı (adikhbfjdbjkhelbdnffogkobkekkkej) – 80.000 indirme
- AutoBuy Flaş Satışları (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20.000 indirme
Yukarıdaki uzantıların hala vaat edilen işlevselliğe sahip olduğunu ve kurbanların kötü niyetli etkinliği fark etmelerini zorlaştırdığını belirtmekte fayda var. Bunları kullanmak kullanıcıları doğrudan etkilemese de, ciddi bir gizlilik riskidir.
Bu nedenle, listelenen uzantılardan herhangi birini kullanıyorsanız, işlevlerini yararlı bulsanız bile, bunları hemen tarayıcınızdan kaldırmanız önerilir.
Uzantılar nasıl çalışır?
Beş uzantının tümü McAfee tarafından keşfedildi benzer bir davranışı var. Uzantının sistemde nasıl davranacağını belirleyen web uygulaması bildirimi (“manifest.json” dosyası), tarama verilerini saldırganların kontrol ettiği bir etki alanına (“langhort”) gönderen çok işlevli bir komut dosyası (B0.js) yükler.[.]com”).
Veriler, kullanıcı yeni bir URL’yi her ziyaret ettiğinde POST istekleri aracılığıyla iletilir. Dolandırıcıya ulaşan bilgiler, base64 biçimindeki URL’yi, kullanıcı kimliğini, cihaz konumunu (ülke, şehir, posta kodu) ve kodlanmış bir yönlendirme URL’sini içerir.
Ziyaret edilen web sitesi, uzantı yazarının aktif bir bağlantısı olduğu web siteleri listesindeki herhangi bir girişle eşleşirse, sunucu B0.js’ye iki olası işlevden biriyle yanıt verir.
Birincisi, “Sonuç[‘c’] – passf_url “, komut dosyasına sağlanan URL’yi (yönlendirme bağlantısı) ziyaret edilen web sitesine bir iframe olarak eklemesini emreder.
İkincisi, “Sonuç[‘e’] setCookie”, B0.js’ye çerezi değiştirmesini veya uzantıya bu eylemi gerçekleştirmek için ilgili izinler verilmişse sağlanan çerezle değiştirmesini emreder.
McAfee, URL ve çerez değişikliklerinin gerçek zamanlı olarak nasıl gerçekleştiğini gösteren bir video da yayınladı:
Algılama, analizden kaçınmak ve araştırmacıları veya dikkatli kullanıcıları şaşırtmak için, bazı uzantılar, tarayıcı etkinliğini göndermeye başlamadan önce kurulumlarından itibaren 15 günlük bir gecikmeye sahiptir.
Bunu yazarken, “Tam Sayfa Ekran Görüntüsü Yakalama – Ekran Görüntüsü Alma” ve “FlipShope – Fiyat İzleyici Uzantısı” Chrome Web Mağazasında hâlâ mevcuttur.
İki Netflix Party uzantısı mağazadan kaldırıldı, ancak bu onları web tarayıcılarından silmez, bu nedenle kullanıcıların bunları kaldırmak için manuel işlem yapması gerekir.