Son dönemde keşfedilen iki zararlı Google Chrome uzantısı, kullanıcıların kimlik bilgilerini gizlice çalmak için gelişmiş man-in-the-middle (MitM) proxy teknikleri kullanıyor. Phantom Shuttle adlı bu uzantılar, özellikle geliştiriciler ve dış ticaret personeline yönelik “çok lokasyonlu ağ hız testi eklentisi” olarak pazarlanıyor. Ancak arka planda, 170’ten fazla kritik alan adından geçen trafiği kontrol ederek kullanıcı verilerini tehdit aktörlerinin komut ve kontrol (C2) sunucularına sızdırıyorlar.
Saldırı Zinciri ve Teknik Detaylar
Uzantılar, kullanıcıların VPN hizmeti satın aldıklarına inandırılarak ¥9.9 ile ¥95.9 CNY arasında abonelik ücretleri alıyor. VIP statüsü kazanan kullanıcılar için otomatik olarak “smarty” proxy modu etkinleştiriliyor ve bu mod, hedeflenen alan adlarından gelen trafiği sert kodlanmış proxy kimlik bilgileriyle C2 sunucusuna yönlendiriyor. Bu süreçte, chrome.webRequest.onAuthRequired API’si kullanılarak HTTP kimlik doğrulama taleplerine otomatik yanıt veriliyor ve kullanıcı etkileşimi engelleniyor.
Uzantılar, GitHub, Stack Overflow, Amazon Web Services, Microsoft Azure, Cisco, IBM, VMware, Facebook, Instagram, Twitter gibi geliştirici platformları, bulut servisleri, kurumsal çözümler ve sosyal medya alan adlarını hedef alıyor. İlginç şekilde pornografik içerik sitelerinin de listeye dahil edilmesi, mağdurların şantaj yoluyla hedef alınabileceği ihtimalini güçlendiriyor.
Uzantıların proxy ayarları, Proxy Otomatik Yapılandırma (PAC) betiği aracılığıyla üç modda yapılandırılıyor: close (proxy kapalı), always (tüm trafik proxy üzerinden) ve smarty (170+ alan adı için proxy). Bu yapı, saldırganların gerçek zamanlı trafik yakalaması, yanıtları manipüle etmesi ve kötü amaçlı yükler enjekte etmesine olanak tanıyor. Ayrıca, her 60 saniyede bir phantomshuttle[.]space adresindeki C2 sunucusuna kalp atışı mesajı gönderiliyor ve her beş dakikada VIP kullanıcıların e-posta adresi, şifresi ve sürüm bilgileri düz metin olarak sızdırılıyor.
Siber Güvenlik Ekipleri İçin Öneriler
- Tarayıcı uzantılarının izinlerini düzenli olarak gözden geçirin ve yalnızca güvenilir kaynaklardan yükleyin.
- Proxy kimlik doğrulama taleplerini ve anormal ağ trafiğini SIEM sistemleri ile izleyin.
- Abonelik tabanlı ödeme sistemleri kullanan uzantıları ve bunların ağ erişim izinlerini dikkatle değerlendirin.
- EDR çözümleri ile tarayıcı süreçlerini ve ağ bağlantılarını sürekli takip edin.
- Olay müdahale (incident response) planlarında tarayıcı tabanlı tehditlere yönelik senaryolar oluşturun.
- Kimlik ve erişim yönetimi (IAM) politikaları ile kullanıcıların gereksiz proxy ayarlarını değiştirmesini engelleyin.
- Ağ segmentasyonu ile kritik sistemlerin ve geliştirici platformlarının trafiğini izole edin.
- Tarayıcı uzantılarının davranışlarını analiz eden araçlar kullanarak anormal aktiviteleri tespit edin.
Teknik Özet
- Zararlılar: Phantom Shuttle Chrome uzantısı (iki varyant)
- Hedefler: Geliştiriciler, dış ticaret personeli, bulut ve kurumsal platform kullanıcıları
- Saldırı Tekniği: Man-in-the-middle proxy saldırısı, HTTP kimlik doğrulama enjeksiyonu
- Proxy Modları: close, always, smarty (170+ hedef alan adı için)
- C2 İletişimi: phantomshuttle[.]space adresine kalp atışı ve kimlik bilgisi sızıntısı
- Önerilen Savunma: Uzantı izin yönetimi, proxy kimlik doğrulama izleme, EDR ve SIEM entegrasyonu
Bu olay, tarayıcı tabanlı uzantıların işletmeler ve bireysel kullanıcılar için yönetilmeyen bir risk katmanı oluşturduğunu gösteriyor. Özellikle kurumsal ortamlarda, e-posta güvenliği, bulut güvenliği ve ağ segmentasyonu gibi alanlarda bütünsel bir savunma stratejisi geliştirmek kritik önem taşıyor.