Koi Security tarafından yayınlanan yeni bir rapor, “ShadyPanda” olarak bilinen bir tehdit aktörünün yürüttüğü ve yedi yıla yayılan devasa bir siber casusluk kampanyasını ortaya çıkardı. Toplamda 4.3 milyon yüklemeye ulaşan bu kampanya, Google Chrome ve Microsoft Edge tarayıcıları için geliştirilen 145 farklı eklentiyi (20 Chrome, 125 Edge) kapsıyor. Başlangıçta masum görünen ve hatta Google tarafından doğrulanan bu araçlar, 2024 ortalarında yayınlanan güncellemelerle tehlikeli birer casus yazılıma dönüştürüldü.
Güven İnşası ve İhanet: Saldırının Zaman Çizelges
ShadyPanda’nın stratejisi, sabırlı bir “güven inşa etme” sürecine dayanıyor. Kampanya kapsamındaki eklentilerin ilk sürümleri 2018 yılında yayınlandı ve yıllarca meşru işlevler sundu. Ancak raporlara göre, 2023 yılında bu eklentilerde ilk kötü amaçlı faaliyet belirtileri gözlemlendi. Saldırganlar, “nuggetsno15” ve “rocket Zhang” gibi geliştirici isimleri altında duvar kağıdı ve üretkenlik uygulamaları yayınlayarak kullanıcı tabanlarını genişletti.
2024’ün ortalarında ise kritik bir dönüm noktası yaşandı. Aralarında Google tarafından “Öne Çıkan” ve doğrulanmış statüsüne sahip “Clean Master”ın da bulunduğu beş popüler eklenti, sessizce güncellenerek arka kapı (backdoor) özellikleri kazandı. Sadece Clean Master, kötü amaçlı olduğu tespit edildiğinde 200.000, toplamda ise bu gruptaki eklentiler 300.000 yüklemeye sahipti. En büyük paya sahip olan “WeTab” eklentisi ise tek başına 3 milyon yükleme ile en geniş saldırı yüzeyini oluşturdu.
Teknik Analiz: Eklentiler Nasıl Çalışıyor?
Bu eklentilerin casus yazılıma dönüşümü, kullanıcı fark etmeden gerçekleşen otomatik güncellemelerle sağlandı. Enfekte olan tarayıcılar, şu teknik adımları izleyen bir Uzaktan Kod Yürütme (RCE) döngüsüne giriyor:
- Komuta Merkezi Kontrolü: Eklenti, her saat başı
api.extensionplay[.]comalan adını kontrol ederek yeni talimatlar arıyor. - Yük İndirme: Saldırgan sunucudan keyfi JavaScript kodları indirilip tarayıcıda tam yetkiyle çalıştırılıyor.
- Veri Sızdırma: Kullanıcının ziyaret ettiği her web sitesi izleniyor. Şifrelenmiş tarama geçmişi, arama sorguları, fare tıklamaları ve tam tarayıcı parmak izi (fingerprint) verileri toplanarak Çin merkezli sunuculara ve
api.cleanmasters[.]storeadresine gönderiliyor.
Gelir Modeli ve Dolandırıcılık Yöntemleri
ShadyPanda sadece veri çalmakla kalmıyor, aynı zamanda bu erişimi finansal kazanca dönüştürüyor. Tespit edilen yöntemler şunlar:
- Affiliate Dolandırıcılığı: Kullanıcılar eBay, Booking.com veya Amazon’u ziyaret ettiğinde, eklenti gizlice kendi takip kodlarını enjekte ederek yapılan alışverişlerden yasa dışı komisyon elde ediyor.
- Arama Motoru Ele Geçirme: Özellikle “Infinity V+” eklentisi, kullanıcıların arama sorgularını “trovi.com” üzerinden yönlendirerek trafiği manipüle ediyor ve arama verilerini topluyor.
| Özellik | Detay |
|---|---|
| Tehdit Aktörü | ShadyPanda |
| Etkilenen Platformlar | Google Chrome, Microsoft Edge |
| Toplam Yükleme | 4.3 Milyon+ |
| Kritik Eklentiler | WeTab (3M), Clean Master (200K), Infinity V+ |
| C&C Sunucusu | api.extensionplay[.]com |
| Veri Sızdırma | api.cleanmasters[.]store, dergoodting[.]com |
| Saldırı Türü | Uzaktan Kod Yürütme (RCE), Veri Hırsızlığı, Affiliate Fraud |
Mevcut Durum ve Riskler
Google, rapor edilen eklentileri Chrome Web Mağazası’ndan kaldırmış durumda. Ancak Koi Security, kampanyanın Microsoft Edge Eklentileri platformunda hala aktif olabileceğine ve bazı eklentilerin yayında kaldığına dikkat çekiyor. Clean Master gibi güvenilir etiketine sahip eklentilerin yıllar sonra zararlı hale gelmesi, tarayıcı eklenti ekosistemindeki “güven” mekanizmasının temelden sorgulanmasına neden oluyor. Kullanıcıların tarayıcı geçmişlerini ve çerezlerini temizlemeleri, ayrıca şüpheli eklentileri derhal kaldırmaları gerekiyor.
Techneiro Analizi
Teknoloji dünyasında “güven” en kırılgan metadır. ShadyPanda vakası, bize sadece kötü amaçlı yazılımların değil, yıllardır kullandığımız ve “güvenilir” kabul ettiğimiz araçların da bir gecede silaha dönüşebileceğini gösteriyor. Editör olarak öngörüm şudur: Tarayıcı geliştiricileri (Google, Microsoft), eklenti güncelleme mekanizmalarına çok daha sıkı, yapay zeka destekli, gerçek zamanlı kod denetimleri getirmek zorunda kalacak. Aksi takdirde, “otomatik güncelleme” özelliği, kullanıcılar için en büyük güvenlik açığı olmaya devam edecek. Bu olay, “yükle ve unut” döneminin bittiğinin kanıtıdır.
Teknoloji dünyasındaki en son yenilikleri ve özel incelemeleri kaçırmamak için Techneiro.com‘u takipte kalın.
