Son analizlere göre, GhostPoster adlı kötü amaçlı yazılım, 17 farklı Mozilla Firefox eklentisinde tespit edildi. Bu eklentiler toplamda 50.000’den fazla indirildi ve kullanıcıların bağlı kuruluş bağlantıları ele geçirilerek gelirlerinin engellenmesi, izleme kodları ile profil çıkarılması ve reklam dolandırıcılığı yapılması amaçlandı. Eklentiler VPN, ekran görüntüsü araçları, reklam engelleyiciler ve Google Translate’in resmi olmayan sürümleri gibi farklı kategorilerde kamufle edildi.
Saldırı Zinciri ve Teknik Detaylar
Kampanya, kullanıcıların bu eklentilerden birini yüklemesiyle başlıyor. Eklentiler, kötü amaçlı JavaScript kodunu içeren logo dosyalarını indiriyor ve bu dosyalar içinde “===” işaretini arayarak zararlı kodu çıkartıyor. Ardından, “www.liveupdt[.]com” veya “www.dealctr[.]com” gibi dış sunuculara bağlanarak ana kötü amaçlı yükü indiriyor. Yükleyici, algılamadan kaçmak için yalnızca %10 ihtimalle yükü indiriyor ve her deneme arasında 48 saat bekliyor. Bu rastgelelik, ağ trafiği analizlerini zorlaştırıyor.
İndirilen kötü amaçlı yazılım, dört ana fonksiyonla kurbanın tarayıcı etkinliklerini paraya çeviriyor:
- Bağlı kuruluş bağlantısı ele geçirme: Taobao, JD.com gibi e-ticaret sitelerinin bağlı kuruluş linklerini keserek meşru komisyonların engellenmesi.
- İzleme kodu enjeksiyonu: Google Analytics kodu ekleyerek kullanıcı davranışlarının gizlice takip edilmesi.
- Güvenlik başlığı kaldırma: Content-Security-Policy ve X-Frame-Options gibi başlıkların kaldırılmasıyla tıklama kaçırma ve XSS saldırılarına zemin hazırlanması.
- Gizli iframe enjeksiyonu: Sayfalara görünmez iframe’ler yerleştirilerek saldırgan sunuculardan zararlı içeriklerin yüklenmesi ve reklam dolandırıcılığı yapılması.
Ayrıca, CAPTCHA atlatma teknikleri kullanılarak bot algılama sistemleri aşılmakta ve kötü amaçlı yazılımın insan kullanıcı gibi davranması sağlanmaktadır. Bu, saldırının devamlılığı için kritik bir adımdır.
Hangi Sistemler Risk Altında?
Bu saldırı, özellikle Firefox kullanıcılarını hedef almakla birlikte, VPN, reklam engelleyici ve çeviri eklentilerini kullanan geniş bir kullanıcı kitlesini etkiliyor. Kurumsal ortamlar ve bireysel kullanıcılar, bu tür eklentileri yüklerken dikkatli olmalıdır. Ayrıca, benzer yöntemler Chrome ve Edge gibi diğer tarayıcılarda da gözlemlenmektedir; örneğin Ağustos 2025’te FreeVPN.One adlı Chrome eklentisi benzer veri toplama faaliyetleriyle raporlanmıştır.
Siber Güvenlik Ekipleri İçin Öneriler
- Tarayıcı eklentilerinin güvenilir kaynaklardan indirildiğinden emin olun ve gereksiz eklentileri kaldırın.
- EDR ve SIEM çözümlerinde anormal ağ trafiği ve C2 iletişimlerini izleyin.
- Content-Security-Policy (CSP) ve X-Frame-Options gibi HTTP güvenlik başlıklarının doğru yapılandırıldığını doğrulayın.
- Tarayıcı ve sistem loglarını düzenli olarak inceleyerek şüpheli davranışları tespit edin.
- Çok faktörlü kimlik doğrulama (MFA) ve Zero Trust prensiplerini uygulayarak saldırı yüzeyini azaltın.
- Olay müdahale planlarını güncel tutun ve phishing, kötü amaçlı yazılım bulaşmaları için tatbikatlar yapın.
- VPN ve çeviri eklentileri gibi yüksek riskli uygulamaların kullanımını kurumsal politikalarla sınırlandırın.
- Kullanıcı eğitimleri ile e-posta güvenliği ve sosyal mühendislik saldırılarına karşı farkındalığı artırın.
Teknik Özet
- Kötü amaçlı yazılım türü: Çok aşamalı JavaScript tabanlı zararlı yükleyici ve kapsamlı araç takımı.
- Hedef platform: Mozilla Firefox tarayıcı eklentileri.
- Kullanılan teknikler: Steganografi, C2 iletişimi, CAPTCHA atlatma, güvenlik başlığı kaldırma, gizli iframe enjeksiyonu.
- Saldırı zinciri: Eklenti kurulumu → logo dosyası indirme → zararlı kod çıkarma → C2 sunucusundan yük indirme → kötü amaçlı faaliyetlerin başlatılması.
- Önerilen savunma: Eklenti kaynaklarının doğrulanması, ağ segmentasyonu, EDR ve SIEM entegrasyonu, HTTP güvenlik başlıklarının sıkılaştırılması.
GhostPoster kampanyası, tarayıcı eklentileri üzerinden yürütülen karmaşık ve uzun süreli bir tehdit olarak öne çıkıyor. Siber güvenlik profesyonellerinin bu tür çok aşamalı saldırı zincirlerini anlaması ve savunma mekanizmalarını buna göre güncellemesi kritik önem taşıyor.