Saldırının Genel Çerçevesi
Popüler Chrome uzantılarının sahipliklerinin başka geliştiricilere devredilmesi sonrası, bu eklentilere zararlı güncellemeler eklendiği ve kullanıcıların tarayıcılarında rastgele kod enjeksiyonu ile veri hırsızlığı yapıldığı ortaya çıktı. QuickLens ve ShotBird gibi uzantılar, başlangıçta güvenilir geliştiriciler tarafından yayımlanmış olsa da, Ocak 2025 ve sonrasında yeni sahipler tarafından kötü amaçlı hale getirildi.
Bu uzantılar, HTTP yanıtlarından güvenlik başlıklarını kaldırarak içerik güvenlik politikalarını atlatıyor ve C2 sunucularından alınan JavaScript kodlarını tarayıcıda gizlice çalıştırıyor. ShotBird uzantısı ise sahte Google Chrome güncelleme bildirimleri göstererek Windows sistemlerde zararlı yürütülebilir dosyalar indiriyor ve kullanıcı girişlerini (kimlik bilgileri, kart bilgileri, tokenlar) çalıyor.
Saldırı Zinciri ve Teknik Detaylar
Saldırı zinciri genel olarak şu adımlardan oluşuyor:
- Uzantıların sahipliklerinin devri ve zararlı güncellemelerin yayınlanması
- HTTP yanıtlarından X-Frame-Options gibi güvenlik başlıklarının kaldırılması
- C2 sunucularından JavaScript kodlarının alınması ve 1×1 piksel GIF öğesi ile tetiklenmesi
- Sahte güncelleme bildirimleri ile kullanıcıların kötü amaçlı dosya indirmeye yönlendirilmesi
- Tarayıcıdaki input, textarea ve select alanlarından veri toplanması
Bu teknikler, MITRE ATT&CK matrisinde T1059.001 (Komut ve Betik Kabukları), T1071.001 (Web Protokolleri), T1110 (Kimlik Doğrulama Saldırıları) ve T1204 (Kullanıcı Etkileşimi) gibi tekniklere karşılık gelmektedir.
Siber Güvenlik Ekipleri İçin Öneriler
- Chrome Web Mağazası’ndan indirilen uzantıların sahiplik değişikliklerini düzenli olarak takip edin.
- Tarayıcı güvenlik başlıklarının (CSP, X-Frame-Options) HTTP yanıtlarında kaldırılıp kaldırılmadığını denetleyin.
- EDR ve SIEM sistemlerinde uzantı kaynaklı şüpheli JavaScript yüklemeleri ve 1×1 piksel görüntü tetiklemeleri için uyarılar oluşturun.
- Tarayıcı uzantılarının izinlerini ve davranışlarını düzenli olarak gözden geçirin, gereksiz izinleri kaldırın.
- Kurumsal ortamda Zero Trust prensipleri doğrultusunda tarayıcı ve uzantı yönetimi uygulayın.
- Kullanıcıları bilinmeyen veya doğrulanmamış uzantıları yüklemekten kaçınmaları konusunda bilinçlendirin.
- Olay müdahale süreçlerinde tarayıcı kaynaklı veri sızıntısı ve kimlik bilgisi hırsızlığı senaryolarını dahil edin.
- Uzantıların C2 iletişimlerini tespit etmek için ağ segmentasyonu ve trafik analiz araçlarını kullanın.
Kurumsal Ortamlarda Olası Senaryolar
Özellikle finans, e-ticaret ve SaaS sağlayıcıları gibi sektörlerde, bu tür uzantıların kullanımı kritik veri sızıntılarına yol açabilir. Örneğin, bir finans kurumunda QuickLens uzantısının zararlı güncellemesi, kullanıcıların kimlik bilgilerini ve ödeme kartı verilerini çalarak hem müşteri hem de kurum verilerinin açığa çıkmasına neden olabilir. Bu durum, kurumun regülasyon uyumluluğunu (KVKK, GDPR) olumsuz etkiler ve itibar kaybına yol açar.
Teknik Özet
- Kötü amaçlı uzantılar: QuickLens, ShotBird, lmToken Chromophore, Chrome MCP Server – AI Browser Control, OmniBar AI Chat and Search
- Kullanılan teknikler: Kod enjeksiyonu, C2 tabanlı JavaScript yükleme, sahte güncelleme bildirimleri, 1×1 piksel görüntü tetikleyicileri, veri dinleme (input, textarea, select)
- Hedef kullanıcılar: Bireysel kullanıcılar ve kurumsal çalışanlar
- Öne çıkan saldırı vektörleri: Sahiplik devri sonrası zararlı güncellemeler, tarayıcı ayarlarının değiştirilmesi, kimlik avı yönlendirmeleri
- Önerilen savunma: Uzantı izinlerinin sıkı kontrolü, EDR ve SIEM entegrasyonu, kullanıcı eğitimi, tarayıcı güvenlik başlıklarının izlenmesi, Zero Trust politikaları
Bu gelişmeler, tarayıcı uzantılarının tedarik zinciri güvenliği ve kurumsal ağ segmentasyonu gibi alanlarda alınacak önlemlerin önemini bir kez daha vurguluyor. Ayrıca, e-posta güvenliği ve olay müdahale süreçlerine tarayıcı kaynaklı tehditlerin dahil edilmesi gerekliliği ortaya çıkıyor.