- Koi Security, arka kapıları ve izleme kodunu gizleyen ve 50.000’den fazla kez indirilen 17 kötü amaçlı Firefox uzantısını ortaya çıkardı
- Uzantılar, uzak sunuculardan veri yüklerini aldı, bağlı kuruluş bağlantılarını ele geçirdi, izleyiciler enjekte etti, güvenlik başlıklarını kaldırdı ve reklam sahtekarlığı mekanizmalarını etkinleştirdi
- Mozilla, etkilenen tüm eklentileri kaldırdı ve algılama sistemlerini güncelledi; kullanıcılar bunları kaldırmalı ve hesapları güvence altına almalıdır
Uzmanlar, bir düzineden fazla Firefox uzantısının kötü amaçlı olduğunun, arka kapılar yerleştirdiğinin ve kullanıcıların gezinme alışkanlıklarını takip ettiğinin tespit edildiği konusunda uyardı.
Kampanyaya “GhostPoster” adını veren Koi Security güvenlik araştırmacılarına göre bu, bu uzantılardan bazılarının kötü amaçlı kodları ele geçirmek için oldukça benzersiz bir yönteme sahip olduğunu söyledi.
Toplamda bu uzantılar 50.000’den fazla indirildi.
Bağlı kuruluş bağlantılarının ele geçirilmesi
Şu ana kadar bulunanların tam listesi:
sonsuza kadar ücretsiz vpn
ekran görüntüsü-kaydedilen-kolay
en iyi hava tahmini
crxfare hareketi
önbellek-hızlı-site-yükleyici
bedava mp3 indirici
google-çevir-sağ tıklamalar
google-çevirmen-esp
dünya çapında VPN
ff için karanlık okuyucu
çevirmen-gbbd
hava durumunu severim
google-translate-pro-uzantısı
Google-Çeviri
librtv-ücretsiz-videolar izle
reklam durdurma
sağ tıklama-google-çeviri
Bu uzantılardan bazıları aslında kötü amaçlı JavaScript kodunu PNG logosunda saklıyor. Kod, ana yükün uzak bir sunucudan nasıl indirileceğine ilişkin talimatlar olarak hizmet eder. Saldırganlar, tespit ve ilişkilendirmeyi daha da zorlaştırmak için uzantıların ana yükü %10 oranında indirmesini sağladı.
Ana yük her türlü şeyi yapabilir. Her şeyden önce, büyük e-ticaret sitelerindeki bağlı kuruluş bağlantılarını ele geçirerek doğrudan içerik oluşturuculardan para çalıyor.
Ardından, kullanıcının ziyaret ettiği her sayfaya Google Analytics takibini enjekte eder ve tüm HTTP yanıtlarından güvenlik başlıklarını çıkarır.
Son olarak, üç ayrı mekanizma kullanarak CAPTCHA’yı atlayabilir ve çoğunlukla reklam sahtekarlığı, tıklama sahtekarlığı ve izleme için kullanılan görünmez iframe’ler ekleyebilir. Bu iframe’ler yaklaşık 15 saniye sonra kendi kendini imha eder.
Bağlı kuruluşlardan para çalmak ve kullanıcı davranışlarını takip etmek kesinlikle ciddi bir mesele olsa da araştırmacılar, saldırganların şifreleri toplamaya veya kullanıcıları sahte banka giriş sayfalarına ve benzeri kimlik avı sitelerine yönlendirmeye karar vermesi durumunda kampanyanın her an daha da yıkıcı olabileceği konusunda uyardı.
Haber çıktıktan sonra Mozilla raporu araştırdı ve keşfedilen tüm uzantıları siteden kaldırmaya karar verdi. tarayıcı mağaza.
Şirket BleepingComputer’a “Eklenti ekibimiz bu raporu araştırdı ve sonuç olarak tüm bu uzantıları AMO’dan kaldırmak için harekete geçti” dedi. “Şu anda ve gelecekte benzer saldırıları gerçekleştirecek uzantıları tespit etmek ve engellemek için otomatik sistemlerimizi güncelledik. Yeni saldırılar ortaya çıktıkça sistemlerimizi geliştirmeye devam ediyoruz.”
Bu uzantılardan herhangi birini kullanıyorsanız hemen kaldırmalı ve kritik hesaplarınızı güvence altına almalısınız.
Aracılığıyla BleepingBilgisayar
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.