Hackerlar, Bitwarden kullanıcılarını hedef alarak sahte Facebook reklamları üzerinden kötü amaçlı bir tarayıcı uzantısı dağıtıyor. Bitdefender tarafından yapılan açıklamalara göre, bu zararlı yazılım, kişisel veriler ve finansal bilgiler gibi kritik bilgileri ele geçirme amacıyla tasarlandı. Kampanya, kullanıcıları sahte bir “Bitwarden güvenlik güncellemesi” olduğuna inandırarak tuzağa düşürüyor.
Facebook reklamları, sahte güvenlik güncellemeleri ile kişisel ve finansal verileri çalan kötü amaçlı uzantıları yayıyor
Kullanıcılar, reklam bağlantısını tıkladıklarında bir dizi sahte URL’ye yönlendirilerek, Google Chrome Web Mağazası’nı taklit eden bir kimlik avı sayfasına ulaşıyor. Buradan indirilen zararlı dosya, Chrome tarayıcısına manuel olarak yüklenen bir uzantı olarak çalıştırılıyor. Bu uzantı, tarayıcı güvenlik kontrollerini atlayarak, Facebook Graph API gibi araçları kullanarak verileri çalıp saldırganların kontrol ettiği bir sunucuya iletiyor.
Kötü amaçlı yazılım, kullanıcıdan tarayıcıda tüm web sitelerinde çalışabilmek, ağ isteklerini değiştirebilmek ve çerezlere erişebilmek gibi geniş kapsamlı izinler talep ediyor. Bu izinler sayesinde uzantı, özellikle Facebook kullanıcılarının “c_user” çerezi aracılığıyla kullanıcı kimliği gibi bilgilerini hedef alıyor. Ayrıca, IP adresleri, konum bilgileri ve diğer kişisel veriler de arka planda çalışan bir script yardımıyla toplanıyor.
Kötü amaçlı uzantı, kullanıcılarda aciliyet hissi yaratmak için “Şifreleriniz tehlikede!” gibi dikkat çekici mesajlar kullanıyor. Bitwarden markasına ait logolar ve tasarımlar da reklamların meşru görünmesini sağlıyor. Bu yöntemle, kullanıcılar sahte güncellemeyi gerçek bir güvenlik önlemi sanarak indiriyor.
Bitdefender, kullanıcıların ve güvenlik ekiplerinin, geniş yetkiler isteyen uzantılara karşı dikkatli olmalarını öneriyor. Özellikle, tarayıcılarda “chrome.runtime.onInstalled.addListener” gibi obfuscated yani karmaşıklaştırılmış işlevler barındıran uzantılara karşı uyarıda bulunuyor. Kullanıcıların güncellemelerin gerçekliğini üreticiden doğrulaması ve güvenilir bir antivirüs hizmeti kullanması da öneriler arasında.
Bu zararlı kampanya Facebook reklam platformu üzerinden kaldırılmış olsa da, sosyal medya ve reklam ağlarının kötü amaçlı yazılım yaymak için nasıl kullanılabileceğini bir kez daha gözler önüne seriyor. Kullanıcıların bu tür tuzaklara karşı bilinçli olmaları büyük önem taşıyor.
