- LayerX, 840.000’den fazla indirme sayısına sahip 17 kötü amaçlı tarayıcı uzantısı buldu
- Uzantılar bağlı kuruluş bağlantılarını ele geçirdi, izleme enjekte etti ve reklam sahtekarlığını etkinleştirdi
- Tüm uzantılar kaldırıldı ancak kullanıcıların bunları manuel olarak kaldırması gerekiyor
Güvenlik araştırmacıları LayerX, Chrome, Firefox ve Edge tarayıcıları için insanların internet etkinliğini izleyen ve kalıcı erişim için arka kapılar kuran 17 uzantı keşfetti. Toplamda uzantılar 840.000’den fazla indirildi.
Bu yeni bir kampanya değil. Aslında LayerX bunun devamı olduğunu iddia ediyor HayaletPosterilk olarak Koi Security tarafından Aralık 2025’in ortalarında keşfedilen bir kampanya.
O zamanlar araştırmacılar, kümülatif olarak 50.000 kez indirilen ve aynı şeyi yapan (davranışı izleme ve arka kapılar yükleme) 17 uzantıdan oluşan farklı bir dizi buldu.
HayaletPoster
İşte keşfedilenlerin tam listesi Uzantılar:
Google Sağ Tıklamayla Çevir
Seçilen Metni GoogleAds Block Ultimate ile Çevir
Yüzen Oynatıcı – PiP Modu
Herşeyi Dönüştür
Youtube’dan İndir
Tek Anahtar Çeviri
Reklam Engelleyici
Sağ Tıklamayla Resmi Pinterest’e Kaydetme
Instagram İndirici
RSS Akışı
Harika İmleç
Tam Sayfa Ekran Görüntüsü
Amazon Fiyat Geçmişi
Renk Geliştirici
Seçili Metni Sağ Tıklamayla Çevir
Sayfa Ekran Görüntüsü Kırpıcı
Bu yeni grup arasında ilk kez 2020’de yüklenen bazı uzantılar da yer alıyor; bu da insanların yıllardır resmi tarayıcı depolarında kötü amaçlı yazılımlara maruz kaldığı anlamına geliyor. Edge’in mağazası bu uzantıların çoğunun ilk ortaya çıktığı yer gibi görünüyor, daha sonra Chrome ve Firefox’a da genişliyor.
Uzantılardan bazıları, PNG logosunda kötü amaçlı JavaScript kodu depolar. Kod, ana yükün uzak bir sunucudan nasıl indirileceğine ilişkin talimatlar olarak hizmet eder. Saldırganlar, tespit ve ilişkilendirmeyi daha da zorlaştırmak için uzantıların ana yükü %10 oranında indirmesini sağladı.
Ana yük her türlü şeyi yapabilir. Her şeyden önce, büyük e-ticaret sitelerindeki bağlı kuruluş bağlantılarını ele geçirerek doğrudan içerik oluşturuculardan para çalıyor.
Ardından, kullanıcının ziyaret ettiği her sayfaya Google Analytics takibini enjekte eder ve tüm HTTP yanıtlarından güvenlik başlıklarını çıkarır.
Son olarak, üç ayrı mekanizma kullanarak CAPTCHA’yı atlayabilir ve çoğunlukla reklam sahtekarlığı, tıklama sahtekarlığı ve izleme için kullanılan görünmez iframe’ler ekleyebilir. Bu iframe’ler yaklaşık 15 saniye sonra kendi kendini imha eder.
Bu arada, tüm uzantılar ilgili depolardan kaldırıldı, ancak kullanıcılara yine de bunları tarayıcılarından kaldırmaları tavsiye ediliyor.
Aracılığıyla BleepingBilgisayar
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.