Chrome Web Mağazası’nda Tespit Edilen Sahte VPN ve YouTube Uzantıları Veri Hırsızlığı Yapıyor
Google Chrome kullanıcıları, sahte uzantılar nedeniyle ciddi bir güvenlik riskiyle karşı karşıya. Güvenlik araştırmacıları, Fortinet, YouTube, VPN servisleri ve yapay zekâ araçları gibi tanınmış markaların kimliğine bürünen 100’den fazla zararlı tarayıcı uzantısı tespit etti. Bu uzantılar, kullanıcıların oturum bilgilerini çalmak ve tarayıcılarına uzaktan komut çalıştırmak amacıyla geliştirildi.
Tehlike, Tarayıcıya Yüklenen Uzantılarla Başlıyor
Söz konusu uzantılar, Chrome Web Mağazası üzerinden erişilebiliyor ve genellikle vaat ettikleri bazı temel işlevleri yerine getiriyor. Ancak arka planda saldırganlara ait sunucularla bağlantı kurarak kullanıcı bilgilerini çalıyor veya uzaktan gelen komutları uyguluyor. Bu komutlar sayesinde uzantılar, kullanıcı trafiğini yönlendirebiliyor, reklam yerleştirebiliyor ya da kötü amaçlı proxy sunucular kurarak veri akışını kendi lehlerine çevirebiliyor. DomainTools tarafından ortaya çıkarılan kampanyada, aşağıdaki sahte alan adları öne çıkıyor:
- VPN servisleri:
earthvpn[.]top,raccoon-vpn[.]world,orchid-vpn[.]com,soul-vpn[.]com - Fortinet ve YouTube:
forti-vpn[.]com,fortivnp[.]com,youtube-vision[.]com - Diğer araçlar:
deepseek-ai[.]link,calendlydocker[.]com,madgicx-plus[.]com
Bu alan adları üzerinden yönlendirilen kullanıcılar, sahte uzantılara “Chrome’a ekle” butonu aracılığıyla ulaşabiliyor. Bu yöntem, uzantının resmî bir kaynaktan geldiği izlenimini yaratıyor.
Google, DomainTools’un bildirdiği birçok zararlı uzantıyı kaldırdığını duyurdu. Ancak bazı uzantıların hâlâ Chrome Web Mağazası’nda yer aldığı doğrulandı. Güvenlik araştırmacıları, zararlı yazılımın yayılmasında zaman farkı ve saldırganların ısrarcı tutumunun önemli bir tehdit oluşturduğuna dikkat çekti.
Örneğin, “fortivpn” isimli uzantı, kullanıcı çerezlerini çalıyor, ağ trafiğini değiştiriyor ve saldırgan sunuculardan gelen JavaScript kodlarını çalıştırabiliyor. Bu uzantı, tüm çerezleri toplayarak sıkıştırıyor ve şifreli bir şekilde saldırganların sunucusuna iletiyor.
Bu sahte uzantılar, kullanıcıların oturum bilgilerini çaldığı için hesapların ele geçirilmesine, kişisel verilerin sızdırılmasına ve internet geçmişinin izlenmesine neden olabiliyor. Daha da önemlisi, ele geçirilen çerezler sayesinde şirket VPN cihazlarına ya da kurumsal ağlara sızma ihtimali artıyor. Bu durum, sadece bireysel kullanıcıları değil şirketleri de ciddi şekilde tehdit ediyor.
Kullanıcıların Chrome Web Mağazası’ndan uzantı indirirken dikkatli olması gerekiyor. Uzmanlar, sadece güvenilir geliştiricilere ait ve kullanıcı yorumlarıyla desteklenen uzantıların tercih edilmesini tavsiye ediyor. Şüpheli görünen veya az bilinen uzantılardan uzak durulmalı. Ayrıca, kurulu uzantılar düzenli olarak gözden geçirilmeli ve bilinmeyenler derhâl kaldırılmalı.
