Chrome Web Store’da Zararlı Uzantı Alarmı: Phantom Shuttle Kullanıcı Bilgilerini Sessizce Çalıyor
Google Chrome Web Store’da yer alan ve proxy hizmeti gibi görünen “Phantom Shuttle” adlı iki tarayıcı uzantısının, kullanıcı trafiğini ele geçirerek kimlik bilgileri ve hassas verileri çaldığı ortaya çıktı. Güvenlik araştırmacıları, uzantıların yıllardır aktif olduğunu ve hâlâ mağazada bulunduğunu bildirdi.
Google Chrome Web Store’da bulunan “Phantom Shuttle” adlı iki tarayıcı uzantısının, kullanıcı verilerini hedef alan gizli bir zararlı işlev barındırdığı belirlendi. Socket tedarik zinciri güvenlik platformu araştırmacıları tarafından yayımlanan rapora göre, uzantılar proxy eklentisi gibi davranarak kullanıcı trafiğini saldırganların kontrolündeki sunucular üzerinden geçiriyor.
Araştırmada, her iki uzantının da aynı geliştirici adıyla yayımlandığı ve ağ hızı test etme ile proxy hizmeti sunma iddiasıyla tanıtıldığı belirtildi. Uzantıların 2017 yılından bu yana aktif olduğu, abonelik ücretlerinin ise 1,4 ila 13,6 dolar arasında değiştiği kaydedildi.
Hedef Kitle Çin’deki Kullanıcılar
Phantom Shuttle uzantılarının özellikle Çin’deki kullanıcıları, yurt dışı ticaret çalışanlarını ve farklı bölgelerden bağlantı testi yapması gereken kişileri hedef aldığı ifade edildi. Araştırmacılar, bu kullanıcı profilinin uzantının yayılmasında önemli rol oynadığını aktardı.
“Tüm Trafik Saldırgan Proxy’lerine Yönlendiriliyor”
Socket.dev ekibi, uzantıların tüm web trafiğini sabitlenmiş kullanıcı adı ve şifrelerle erişilen saldırgan proxy’leri üzerinden yönlendirdiğini belirtti. Zararlı kodun, meşru jQuery kütüphanesine eklenmiş şekilde gizlendiği ve proxy kimlik bilgilerinin özel bir karakter kodlama yöntemiyle saklandığı aktarıldı.
Uzantıların, Chrome’un proxy ayarlarını otomatik yapılandırma betikleri aracılığıyla dinamik olarak değiştirdiği ve HTTP kimlik doğrulama isteklerini dinleyerek her web sitesinde veri yakalayabildiği vurgulandı.
170’ten Fazla Kritik Alan Adı Takip Ediliyor
Varsayılan “smarty” modunda uzantıların, geliştirici platformları, bulut servis panelleri, sosyal medya siteleri ve yetişkin içerik portalları dahil 170’ten fazla yüksek değerli alan adını proxy ağı üzerinden yönlendirdiği bildirildi. Yerel ağ adresleri ve komuta-kontrol alan adlarının ise tespit edilmemek için hariç tutulduğu kaydedildi.
Araştırmacılar, uzantının ortadaki adam saldırısı yöntemiyle form verileri, kullanıcı adı ve şifreler, kart bilgileri, oturum çerezleri ve API anahtarlarını ele geçirebildiğini belirtti.
Google’dan Açıklama Bekleniyor
BleepingComputer’ın Google ile iletişime geçtiği ancak uzantıların hâlâ Chrome Web Store’da yer almasına ilişkin resmî bir açıklama yapılmadığı aktarıldı.
Kullanıcılara Güvenlik Uyarısı
Uzmanlar, Chrome kullanıcılarına yalnızca güvenilir geliştiricilere ait uzantıları yüklemeleri, kullanıcı yorumlarını dikkatle incelemeleri ve kurulum sırasında istenen izinlere özellikle dikkat etmeleri çağrısında bulundu.
Ajans Expres Gazetesi
Tepkiniz Nedir?
