Microsoft, Gizli Kötü Amaçlı Yazılım Taşıyan 119 Edge Eklentisini Kaldırdı

Anasayfa » Microsoft, Gizli Kötü Amaçlı Yazılım Taşıyan 119 Edge Eklentisini Kaldırdı
Tarayıcı Güvenliği, Tehdit İstihbaratı, Zararlı Yazılım
Haziran 29, 2026Haziran 29, 2026Tarafından Cybernews.TR
0
Microsoft, Gizli Kötü Amaçlı Yazılım Taşıyan 119 Edge Eklentisini Kaldırdı

Microsoft, 2021’den beri aktif olan tek bir saldırganın yaydığı 119 adet Edge tarayıcı eklentisini mağazadan kaldırdı. Bu eklentiler, kullanıcıların sıkça tercih ettiği reklam engelleyiciler, VPN’ler, çeviri araçları ve video indiriciler gibi faydalı görünümlü araçlardı. Ancak arka planda sakladıkları zararlı kodlar, yıllarca fark edilmeden mağazada yer aldı.

Steganografi ile Gizlenen Zararlı Kodlar

Kampanyanın adı “StegoAd” olarak adlandırıldı; çünkü zararlı kodlar, resim dosyalarının ve hatta fontların içine steganografi yöntemiyle gizlenmişti. Başlangıçta PNG dosyalarının sonuna yerleştirilen JavaScript kodları, statik tarayıcılar tarafından tespit edilemiyordu. Sonraki varyantlarda WebP formatına ve WOFF2 font dosyalarına geçilerek kodlar, Asya dillerine ait glifler veya font meta verisi gibi görünümlerle kamufle edildi. Bu teknik, tarayıcı eklenti ekosisteminde oldukça nadir karşılaşılan bir yöntem olarak dikkat çekiyor.

Karmaşık İletişim ve Gizlilik Önlemleri

Bazı varyantlar, zararlı kodu yerel olarak taşımıyor, onun yerine komut kontrol sunucularından normal görünümlü resimler indiriyordu. Bu resimler, çok katmanlı Base64, XOR, rakam ve harf dönüşümleriyle çözüldükten sonra imza kontrolünden geçerek çalıştırılıyordu. Sunucular, parmak izi ve kullanıcı ajanı doğrulaması yapmadan gerçek dosyayı vermiyor, araştırmacılar ve doğrudan sorgulayanlar boş yanıtlara yönlendiriliyordu. Ayrıca eklentiler, geliştirici araçları açıkken zararlı kodu devreye almamak için bekleme süresini uzatıyordu.

Ad Fraud Görünürken, Kredi Bilgileri Gizlice Çalınıyordu

Yüzeyde, eklentiler Amazon, eBay ve AliExpress gibi platformlarda bağlı kuruluş komisyonlarını çalma, arama sonuçlarını yönlendirme ve reklam enjeksiyonu gibi dolandırıcılık faaliyetleri yürütüyordu. Ancak analizler, çok daha tehlikeli işlevlerin de devrede olduğunu ortaya koydu. Zararlı yazılım, uzaktan komut çalıştıran bir arka kapı içeriyor; Google hesap bilgileri, ikinci faktör kodları, WordPress yönetici girişleri ve oturum çerezleri gibi kritik veriler toplanarak dışarı sızdırılıyordu.

Karmaşık Altyapı ve Sürekli Evrim

Saldırgan, en az on farklı komut kontrol alan adı kullanıyor ve bu alanlar otomatik yedeklemelerle destekleniyordu. Trafik Cloudflare Workers üzerinden proxyleniyor, GitHub Pages ise izleme sinyalleri barındırmakta kullanılıyordu. Eklenti ailesi polimorfik yapıda, 66’dan fazla eklentide 15’in üzerinde isim varyantı ile faaliyet gösteriyordu. Ayrıca, Google’ın Analytics izleme kodları kampanyanın gizli telemetri sistemi olarak kullanıldı.

Edge Kullanıcıları İçin Ne Yapmalı?

Microsoft, ilgili tüm eklentileri mağazadan kaldırdı ve 90’dan fazla geliştirici hesabını askıya aldı. Kullanıcıların edge://extensions sayfasını açıp yüklü eklentilerini kontrol etmeleri, şüpheli bir eklenti varsa tarayıcıyı risk altında kabul edip hemen parolalarını değiştirmeleri gerekiyor. Google, WordPress, banka ve diğer kritik hesaplarda iki faktörlü kimlik doğrulama etkinleştirilmeli. Donanım güvenlik anahtarları, bu tür kimlik bilgisi hırsızlıklarına karşı SMS tabanlı kodlardan daha dayanıklı koruma sağlıyor.

Teknik Özet ve Saldırı Zinciri

Bu kampanyada kullanılan yöntemleri özetlemek gerekirse: Zararlı eklentiler, steganografi ile gizlenmiş JavaScript kodlarını önce resim ve ardından font dosyalarına yerleştiriyor. Komut kontrol sunucularından karmaşık şifrelemelerle kodu alıyor ve çalıştırıyorlar. Elde edilen veriler arasında kimlik bilgileri, oturum çerezleri ve yönetici erişimleri var. Saldırı zinciri, eklenti yükleme, komut kontrol sunucusundan zararlı kodun indirilmesi, kimlik bilgisi sızdırılması ve uzaktan komut çalıştırmayı kapsıyor.

Sistem Yöneticileri İçin Öneriler

  • Eklenti izinlerini düzenli olarak gözden geçirin ve gereksizleri kaldırın.
  • Edge tarayıcısının edge://extensions sayfasını kontrol ederek şüpheli eklentileri tespit edin.
  • İki faktörlü kimlik doğrulamayı zorunlu hale getirin, tercihen donanım tabanlı güvenlik anahtarları kullanın.
  • EDR ve SIEM sistemlerinde stego-adware tarzı davranışları tespit etmeye yönelik kurallar oluşturun.
  • Komut kontrol trafiğini izlemek için ağ segmentasyonu ve anomalili trafik tespiti uygulayın.
  • Web trafiğini Cloudflare Workers veya GitHub Pages gibi servislerden gelen şüpheli talepler açısından denetleyin.
  • Kritik sistemlerde oturum yönetimini güçlendirin, çerez hırsızlığına karşı önlemler alın.
, , , , , ,