2022’nin ilk yarısında 1,3 milyondan fazla kullanıcı tarayıcı uzantısı adı altında saklanan tehditlerden en az bir kez etkilendi. Bu 2021’in tamamı boyunca aynı tehditten etkilenen kullanıcı sayısının %70’inden fazla.
Tarayıcı uzantısı altındaki tehditler, Google Translator gibi popüler uygulamaları veya PDF Converter veya Video Downloader gibi faydalı işlevlere sahip uzantıları taklit ederek reklam gösterebiliyor, kullanıcıların tarama geçmişleri hakkında veri toplayabiliyor ve kimlik bilgilerini çalabiliyor. Bu da bunları siber suçlular için en çok aranan araçlardan biri haline getiriyor.
Güvenlik araştırmacıları, etkilenen kullanıcıların sayısında önemli bir artış gözlemledi. Bu süre zarfında 1,3 milyon kullanıcı eklentilerde tehditlerle karşılaştı. Bu 2022’nin henüz ortalarında olmamıza rağmen geçen yıl boyunca aynı tehditten etkilenen kullanıcı sayısının %70’inden fazla. Tarayıcı uzantısı kisvesi altında yayılan en belirgin tehdit reklam yazılımları. Bunlar ekranda reklamları göstermek için tasarlanmış, istenmeyen yazılımlardan oluşuyor. Bu tür reklamlar genellikle kullanıcıların ilgisini çekmek, web sayfalarına banner yerleştirmek veya onları yasal arama motoru reklamları yerine geliştiricilerin para kazanabilecekleri bağlı kuruluş sayfalarına yönlendirmek için tarama geçmişine göz atıyor. Ocak 2020’den Haziran 2022’ye kadar uzmanlar, 4,3 milyondan fazla benzersiz kullanıcının tarayıcı uzantısı altında gizlenen reklam yazılımıyla karşılaştığını gözlemledi. Bu, etkilenen tüm kullanıcıların yaklaşık %70’inin bu tehditle karşılaştığı anlamına geliyor.
Dahası, kötü amaçlı ve istenmeyen eklentilerin resmi pazar yerleri aracılığıyla da dağıtıldığı tespit edildi. 2020’de Google, Chrome Web Mağazası’ndan 106 kötü amaçlı tarayıcı uzantısını kaldırdı. Bunlar çerezler ve şifreler gibi hassas kullanıcı verilerini çalmak ve ekran görüntüleri almak için kullanılıyordu. Toplamda, bu kötü amaçlı uzantılar 32 milyon kez indirildi ve milyonlarca kullanıcının verilerini riske attı.
Ancak bu sıkça yaşanan bir durum değil. Kötü amaçlı eklentilerin dağıtılmasının ana yolunu üçüncü parti kaynaklar oluşturuyor. FB Stealer adlı raporda Kaspersky araştırmacıları tarafından analiz edilen tehdit ailelerinden biri, yalnızca güvenilmeyen siteler aracılığıyla yayılıyordu. FB Stealer en tehlikeli tehdit ailelerinden biri, çünkü geleneksel arama motoru değiştirme ve bağlı kuruluş sayfalarının yeniden yönlendirilmesine ek olarak Facebook kullanıcı kimlik bilgilerini de çalabiliyor.
Kullanıcılar SolarWinds Broadband Engineers Keymaker gibi üçüncü taraf kaynaklardan korsan bir yazılım yükleyici indirmeye çalıştığında, aslında tehlikeli bir NullMixer Truva atını sisteme aldılar. Ardından NullMixer, zararsız ve standart görünümlü Chrome uzantısı “Google Translate”i taklit ettiği için kullanıcıya daha az şüpheli görünen FB Stealer’ı cihaza yükledi.
NullMixer Truva atı FB Stealer’ı başlattıktan sonra, Facebook oturum çerezlerini (tarayıcıda saklanan ve kullanıcıların oturum açma bilgilerini tutan parçalar) ayıklayabiliyor ve bunları saldırganların sunucularına gönderebiliyor. Böylece bu çerezleri kullanarak kurbanın Facebook hesabına hızlıca giriş yapabiliyorlar. Hesaba girdikten sonra saldırganlar kurbanın arkadaşlarından para istiyor ve kullanıcı hesaba tekrar erişmeden önce mümkün olduğunca çok para koparmaya çalışıyor. Neticede bilinmeyen bir kaynaktan tuzaklı bir yükleyici indiren kullanıcılar, beklemedikleri bir tehditle karşılaşıyor ve çok sayıda arkadaşı parasını kaptırıyor.