Son dönemde gerçekleşen siber saldırı hakkında yeni detaylar ortaya çıktı. Araştırmalara göre, kötü niyetli bir Google Chrome eklentisi, 400.000 kullanıcının kötü amaçlı yazılımla enfekte olmasına neden oldu. Saldırganların kampanyayı en erken 2024 Mart ayında planladığı belirtildi.

Cyberhaven güvenlik firmasına saldıran ve ardından birçok Google Chrome eklentisini etkileyen son siber saldırının, ‘daha geniş bir kampanyanın parçası olabileceği’ iddiasıyla ilgili yeni araştırmalar yapıldı. Bir BleepingComputer soruşturması, aynı kodun en az 35 Google Chrome eklentisine enjekte edildiğini ve dünya genelinde yaklaşık 2.6 milyon kullanıcı tarafından kullanıldığını ortaya koydu. Bu durum, CyberHaven uzantıları aracılığıyla 400.000 cihazın kötü amaçlı kodla enfekte olmasına neden oldu.

Bu kampanya, ilk başta düşünüldüğünden iki hafta önce olan 5 Aralık’ta başladı, ancak komuta ve kontrol alt alan adlarının 2024 Mart ayına kadar uzandığı bulundu.

Veri kaybı önleme
İronik bir şekilde, siber güvenlik firması Cyberhaven, Facebook veya ChatGPT gibi izinsiz platformlardan hassas veri kaybını önlemeyi amaçlayan bir Google Chrome eklentisi sunan bir girişimdir. Bu özel durumda, saldırı, e-posta yoluyla bir geliştiriciye karşı başlatılan bir dolandırıcılık saldırısından kaynaklandı. Bu e-posta, bir Google bildirimiymiş gibi davranarak yöneticiyi Chrome Web Store politikalarını ihlal eden ve kaldırılma tehlikesiyle karşı karşıya olan bir uzantı hakkında uyarıyordu. Geliştirici, saldırganlara izin vermesi için bir ‘Gizlilik Politikası Uzantısı’ vermeye teşvik edildi, bu da saldırganlara izinler sağladı ve erişim sağladı.

Bunun üzerine, Google’ın güvenlik kontrollerini atlatan yeni kötü amaçlı bir sürümü yüklendi ve bu da Chrome’daki otomatik uzantı güncellemeleri sayesinde yaklaşık 400.000 kullanıcıya yayıldı.

Şimdi keşfedilen olayda, saldırganların kurbanlardan Facebook verileri toplamayı amaçladığı, saldırıda kullanılan alan adlarının 2024 Mart ayında kaydedildiği ve test edildiği, ardından olaydan önce Kasım ve Aralık aylarında yeni bir setin oluşturulduğu ortaya çıktı.

“Çalışan, standart akışı takip etti ve yanlışlıkla bu kötü niyetli üçüncü taraf uygulamasına izin verdi,” Cyberhaven’ın bir açıklamasında belirtildi. “Çalışanın Google Gelişmiş Koruma etkinleştirildi ve hesabını kapsayan MFA’sı vardı. Çalışan MFA onayı almadı. Çalışanın Google kimlik bilgileri tehlikeye girmedi.”

Benzer haberleri incelemek için şunları da beğenebilirsiniz:
2024’ün en iyi kötü amaçlı yazılım temizleme yazılımlarına göz atın
Google’a göre 2024’ün en iyi Chrome Uzantılarına göz atın
En iyi Chrome VPN uzantıları için seçimlerimize göz atın.