Zərərli Chrome əlavələri milyonlarla istifadəçinin məlumatlarını oğurlayıblar

     Chrome brauzeri üçün zərərli əlavələrin (extensions) yayılması ilə bağlı genişmiqyaslı kampaniya barədə məlumat ortaya çıxıb. DomainTools Intelligence (DTI)-nin məlumatına görə, naməlum haker qrupu 2024-cü ilin fevralından etibarən 100-dən çox saxta sayt və brauzer əlavəsi yaradıb. Bu əlavələr faydalı alətlər adı ilə təqdim olunur, lakin əslində zərərli proqram təminatı yayır. Hakerlər tərəfindən yaradılmış saytlar istehsal məhsuldarlığını artıran vasitələr, reklam yaratma və analiz köməkçiləri, VPN xidmətləri, kripto platformaları və bank tətbiqləri kimi legitim xidmətləri təqlid ediblər, bu da istifadəçiləri zərərli proqram yükləməyə cəlb edib.

     Google Chrome Web Store platformasında yerləşdirilmiş bu əlavələr ilk baxışdan əsl funksionallıq təklif edirmiş kimi görünsə də, əslində onlar istifadəçi hesablarını və cookie fayllarını oğurlamaq, sessiyaları ələ keçirmək, reklam yerləşdirmək, zərərli yönləndirmələr etmək, trafiki manipulyasiya etmək və DOM (Document Object Model) üzərindən fişinq hücumları həyata keçirmək kimi funksiyalara malik olub. Bu zərərli kampaniyanın əsas uğur səbəbi isə əlavələrin manifest.json faylında həddindən artıq icazələrə sahib olmasıdır. Bu hüquqlar vasitəsilə istifadəçilərin ziyarət etdikləri hər bir saytla qarşılıqlı əlaqə qurmaq, hakerlərin nəzarətində olan domenlərdən alınan istənilən kodu icra etmək, istifadəçini digər saytlara yönləndirmək və reklam yerləşdirmək mümkün olub.

     Bundan əlavə, əlavələr DOM-un müvəqqəti elementi üzərində onreset hadisə emalçısından istifadə edərək kod icra ediblər. Bu, çox güman ki, Məzmun Təhlükəsizliyi Siyasətini (CSP) aşmaq cəhdi olub. Hakerlər tərəfindən təqlid edilmiş legitim məhsul və xidmətlər arasında DeepSeek, Manus, DeBank, FortiVPN və Site Stats kimi adlar yer alıb. Əlavə quraşdırıldıqdan sonra brauzerin cookie fayllarını toplayıb, uzaq serverdən istənilən skriptləri yükləyib, WebSocket bağlantısı quraraq trafik marşrutlaşdırması üçün şəbəkə proksisi kimi fəaliyyət göstərib.

     Hələlik istifadəçilərin fişinq saytlarına necə yönləndirildiyi dəqiq məlum olmasa da, DTI ehtimal edir ki, standart üsullar - fişinq və sosial mühəndislik texnikaları, o cümlədən sosial şəbəkələrdə istifadə edilə bilər. Diqqət çəkən məqamlardan biri də odur ki, bir çox saxta saytda Facebook ID-lərinin istifadə olunması onların Facebook və Meta tətbiqlərindən istifadə edərək ziyarətçi cəlb etməyə çalışdıqlarını göstərir. Bu, səhifələr, qruplar və reklam vasitəsilə həyata keçirilə bilər. Google artıq bu məsələyə reaksiya verib və zərərli əlavələri Chrome Web Store-dan silib.

     Ehtiyat tədbiri olaraq istifadəçilərə tövsiyə olunur ki, yalnız etibarlı və yoxlanılmış tərtibatçılardan olan əlavələr quraşdırsınlar, tələb olunan icazələri diqqətlə yoxlasınlar, istifadəçi rəylərini oxusunlar və legitim əlavələrə bənzəyən şübhəli əlavələrdən uzaq dursunlar. Lakin nəzərə almaq lazımdır ki, reytinglər süni şəkildə şişirdilə bilər, məsələn, mənfi rəylərin filtrdən keçirilməsi ilə. DomainToolsun analizinə əsasən, bəzi əlavələr, məsələn, DeepSeek-i təqlid edənlər, 1-3 ulduz arasında aşağı qiymət verən istifadəçiləri xüsusi geribildirim formasına yönləndirib, 4-5 ulduz verənləri isə birbaşa Chrome-un rəsmi əlavələr mağazasındakı rəy bölməsinə yönləndirib. Hazırda araşdırma davam edir və cinayətkarların kimliyi hələlik müəyyən edilməyib.