Muhtemelen tarayıcınız için bir uzantı kurmuşsunuzdur. Ancak, Chrome Web Mağazası gibi meşru mağazalar arasında bile bazen kötü niyetli modüller gizlenmektedir. Phantom Shuttle adındaki iki uzantı, verilerinizi çalmak için proxy gibi davranıyor.

Tarayıcıları için uzantı kuran birçok kullanıcı var: bazıları reklamları engellemeye, tarayıcıyı kişiselleştirmeye, verimliliği artırmaya yardımcı olurken, diğerleri bazı kısıtlamaları aşmak için kullanılır – örneğin VPN veya proxy gibi. Ancak bugün, meşru bir mağazadan, örneğin Chrome Web Mağazası'ndan bir uzantı indirmek, artık tam bir güvenlik garantisi sağlamıyor. Gerçek modüllerin arasında bazen kötü niyetli uzantılar gizleniyor.

Son zamanlarda, araştırmacılar, çok popüler bir Chrome uzantısının, kullanıcılarının bir yapay zeka chatbot'u ile yaptığı tüm konuşmaları çaldığını keşfettiler… oysa bu uzantı, Chrome tarafından verilen "Tavsiye Edilen" rozetini almıştı. Sonuç: 8 milyon internet kullanıcısı tehlikeye atıldı. Ancak maalesef bu durum, yalnızca bir tanesi değil: Phantom Shuttle adındaki iki uzantı, kullanıcıların verilerini çalmak için proxy gibi davranıyor.

Bu Chrome Uzantıları, Verilerinizi Çalmak İçin Proxy Gibi Davranıyor

Bu iki uzantı, Socket araştırmacıları tarafından tespit edildi. Onlara göre, bu uzantılar 2017'den beri aktif. Aynı geliştirici adı altında yayınlanan bu uzantılar, kullanıcılara, ağ hızını test etme imkanı sunan proxy olarak tanıtılıyor. Kullanıcıların bu hizmetten yararlanabilmesi için bir abonelik almaları gerekiyor – bu abonelik ücreti 1,4 ile 13,6 dolar arasında değişiyor.

Araştırmacılara göre, Bleeping Computer tarafından aktarılan bilgilere göre, Phantom Shuttle internet kullanıcılarının tüm tarayıcı trafiğini, siber saldırganların sahip olduğu proxy sunucuları üzerinden yönlendirmek için Chrome'un proxy ayarlarını bir otomatik yapılandırma scripti ile değiştiriyor.

Gizlenmek için, saldırganlar bu yönlendirmeden sorumlu kodu, meşru bir kütüphane olan jQuery'nin başına doğrudan enjekte ediyor ve verilerin gönderildiği sunucuların adresini gizlemek için karmaşık bir kodlama sistemi kullanıyorlar. Ayrıca, saldırı, kurbanın yerel ağını ve komut sunucularını kasıtlı olarak görmezden geliyor.

Varsayılan olan "smarty" modu, 170'den fazla stratejik siteyi hedef alıyor (sosyal medya, bulut hizmetleri, geliştirme araçları, yetişkin siteleri…). Bağlantının ortasında konumlandığında (bir tür orta adam saldırısı gibi), uzantı, tarayıcıdan geçen her şeyi yakalayabiliyor: kimlik bilgileri, parolalar ve banka bilgileri içeren formlar, oturum çerezleri veya web isteklerinin API jetonları. İşte kendinizi korumak için bazı ipuçları:

  • Mümkün olduğunca az uzantı kurun.
  • Geliştiricinin kim olduğunu, yorumları (ve sadece puanı değil) ve istenen izinleri kontrol edin.
  • Tüm sitelere erişim isteyen veya proxy veya ağ kontrolü talep eden uzantılara dikkat edin.