Kibertəhlükəsizlik tədqiqatçıları, Çindən fəaliyyət göstərdiyi güman edilən DarkSpectre kimi tanınan mütəşəkkil təhdid aktyoruna aid edilən dünyanın ən böyük sənədləşdirilmiş brauzer genişləndirmə pozuntularından birini aşkar etdilər.

Yeddi ildən çoxdur ki, bu şəbəkə, tamamilə qanuni görünən və şübhə yaratmadan rəsmi brauzer mağazaları vasitəsilə yayılan genişləndirmələr vasitəsilə 8,8 milyondan çox Chrome, Edge, Firefox və Opera brauzer istifadəçisini uğurla yoluxdurub.

Koi.ai tərəfindən aparılan bir araşdırmaya görə, qrup üç qarşılıqlı əlaqəli kampaniya həyata keçirir: ShadyPanda, GhostPoster və bu yaxınlarda müəyyən edilmiş The Zoom Stealer adlı bir kampaniya, hamısı vahid strateji cəhətdən əlaqələndirilmiş bir əməliyyat təşkil edir.

Təsadüfi Hücumlar Deyil, Vahid Koordinasiyalı Əməliyyat

Araşdırmalar göstərir ki, DarkSpectre təsadüfi bir haker qrupu deyil, birdən çox paralel kampaniyanı idarə edən vahid bir əməliyyatdır. İstifadəçiləri cəlb etmək və sonradan zərərli davranışı aktivləşdirməzdən əvvəl etibar yaratmaq üçün real funksionallığa malik genişləndirmələrdən istifadə edir. Bu genişləndirmələr gizli tətbiqlər deyil, istifadəçilərin gündəlik etibar etdikləri məşhur vasitələr idi.

DarkSpectre-nin strukturu ənənəvi kibercinayətkarlıq əməliyyatlarından fərqlənir, çünki o, hər birinin müəyyən məqsədləri olan ayrı, lakin bir-biri ilə əlaqəli zərərli proqram klasterlərini idarə edir.

Təxminən 5,6 milyon infeksiyaya səbəb olan ShadyPanda kampaniyası uzunmüddətli istifadəçi monitorinqinə və e-ticarət filial marketinq fırıldaqçılığına yönəlib.

Onun genişləndirmələri illər ərzində qanuni görünürdü, jt2x.com və infinitynewtab.com kimi əmr və idarəetmə serverlərindən gizli şəkildə zərərli konfiqurasiyaları yükləməzdən əvvəl yeni sekmeler və tərcümə vasitələri təklif edirdi.

ShadyPanda tərcümə vasitələri, sekmeler menecerləri və yeni sekmeler səhifələri daxil olmaqla geniş yayılmış məhsuldarlıq genişləndirmələrinə əsaslanırdı - nümunələrə WeTab, "Yeni sekmeler" və "Fərdiləşdirilmiş İdarəetmə Paneli"nin birdən çox versiyası, eləcə də tanınmış xidmətləri təqlid edən yüngül tərcümə vasitələri daxildir.

Bu genişləndirmələr illər ərzində normal fəaliyyət göstərərək, istifadəçinin xəbəri olmadan brauzer məlumatlarını toplamağa, istifadəçi davranışını izləməyə, axtarış nəticələrini manipulyasiya etməyə və filial link fırıldaqçılığını həyata keçirməyə başlamazdan əvvəl müsbət reytinqlər və "etibarlı" nişanlar almışdır.

GhostPoster: Şəkillər və Tərcümə Genişləndirmələri Vasitəsilə İnfiltrasiya

1 milyondan çox istifadəçiyə təsir edən GhostPoster kampaniyası Firefox və Opera genişləndirmələri vasitəsilə daha gizli bir yanaşmadan istifadə etdi. Sənədləşdirilmiş bir nümunə, naməlum bir geliştirici hesabı altında dərc edilmiş və sadə bir tərcümə vasitəsi kimi görünən Google™ Translate adlı Opera mağaza genişləndirməsi idi.

Əslində, genişləndirmə sayt qorumalarını keçdi, uzaqdan əmrlər üçün gizli bir kanal açdı və fırıldaqçılıq aşkarlama sistemlərini deaktiv etdi. Kampaniya, zərərli kodu genişləndirmə nişanları kimi istifadə edilən PNG şəkillərinin içərisində gizlətdi və sonradan brauzerdə çıxarıldı və icra edildi.

Zoom Oğurluğu: Video Yükləmə Alətləri Casus Proqramına Çevrildi

Ən təhlükəli dəyişiklik təxminən 2,2 milyon istifadəçini hədəf alan Zoom Oğurluğu kampaniyası ilə baş verdi. Bu, fırıldaqçılıq və monitorinqdən birbaşa korporativ casusluğa çevrildi. Bu kampaniya istifadəçilərə Twitter X Video Downloader, sosial media video yükləyiciləri və təkcə 800.000-dən çox istifadəçisi olan Chrome Audio Capture kimi brauzer səsyazma alətləri kimi zərərsiz görünən genişləndirmələr vasitəsilə çatdı.

Bu genişləndirmələr reklam olunan funksiyalarını yerinə yetirsələr də, arxa planda Zoom, Microsoft Teams, Google Meet və WebEx kimi virtual görüş platformalarından həssas məlumatlar topladılar. Toplanan məlumatlara görüş linkləri, sessiya ID-ləri, şifrələr, iştirakçı siyahıları və natiqlər və ev sahibi şirkətlər haqqında ətraflı məlumatlar daxil idi.

Uzunmüddətli Strategiya və Sistemli Etibar Quruculuğu

DarkSpectre gizlilik və səbrə əsaslanır, görünən yeniləmələr olmadan zərərli imkanlarını xarici əmrlər vasitəsilə aktivləşdirməzdən əvvəl illərlə normal işləyən genişləndirmələr yerləşdirir. Araşdırmalar göstərir ki, bu şəbəkəyə bağlı onlarla genişləndirmə aktiv qalır və təmiz görünür, yəni istənilən vaxt casus proqram və ya fırıldaqçılıq alətlərinə çevrilə bilərlər.

Təhlillər göstərdi ki, əmr və məlumat ötürmə infrastrukturu Çində yerləşən serverlərdən, proqramlaşdırma şərhlərindən və dəyişənlərindən Çin dilində, fəaliyyət nümunələrindən isə yerli iş saatlarına uyğundur. Çin elektron ticarət platformalarına da diqqət yetirilir ki, bu da Çin bağlantısı hipotezini dəstəkləyir.

Davam edən Təhdid və Brauzer Mağazası Zəifliyi

DarkSpectre işi brauzer genişləndirmə mağazası modelində kritik bir qüsuru ortaya qoyur, burada genişləndirmə yalnız dərc edildikdə araşdırılır, lakin sonradan effektiv nəzarət olmadan xarici əmrlər vasitəsilə davranışını dəyişdirə bilər. Nəticədə, tərcümə vasitələri, sekme menecerləri və video yükləyiciləri kimi məşhur genişləndirmələr genişmiqyaslı pozuntular üçün keçidlərə çevrilə bilər.

Kibertəhlükəsizlik mütəxəssisləri xəbərdarlıq edirlər ki, indiyə qədər aşkar edilənlər daha böyük bir şəbəkənin yalnız bir hissəsini təmsil edə bilər, milyonlarla istifadəçi isə arxasındakı riskləri dərk etmədən gündəlik olaraq brauzer genişləndirmələrinə etibar etməyə davam edir.


Reportyor.az 


MARAQLI / KARUSEL