Siber güvenlik kuruşuşu ESET’in araştırmacıları tarafından yapılan son çalışmalarda keşfedilen bu sahte Firefox eklentisi, büyük bir hack kampanyasının aracı gibi gözüküyor.
Grubun ilk çalışma modeli, bilgisayarlara kötü amaçlı yazılımlar indirip çalıştıran tehlikeli siteler üzerine kurulu. Bu saldırı türü sürücü, tarafından otomatik olarak indirilen dosyalarla rahatlıkla gerçekleştirilebiliyor.
İsviçre merkezli bir güvelik şirketinin -adı açıklanmıyor- internet sitesi, ziyaretçilerinden HTML5 tabanlı bir uzantıyı yüklemesini istiyor ve kullanıcıları tehlikeye atıyor. ESET, kullanıcıların tüm faaliyetlerini sunucuya geri bildiren JavaScript tabanlı basit bir arka plan yazılımı olduğundan şüpheleniyor.
Langpack-en-GB adlı bu Firefox eklentisinin birçok benzeri daha önce de görülmüştü. ESET araştırmacıları, diğer olayların ve yeni keşfedilen bu yazılımın arkasındaki ekibin Turla APT olduğuna emin.
Firefox eklentisi bir siber casusluk kampanyasında faal olarak konuşlandırılmış olsa da, ESET araştırmacıları, bu atağın yalnızca bir test olduğu görüşündeler. Firefox eklentisi, URL'ye kaç kez erişildiğini tespit etmesine izin veren bir Bit.ly kısa linkiyle erişilen C&C sunucusuna bağlanıyor. ESET ekibine göre, URL’ye yalnızca 17 kez erişim sağlanmış ve bu da atağın sadece bir deneme olduğuna dair en büyük kanıt.
Yazılım Britney Spears’ın Instagram Profili Üzerinden Yayılacak:
ESET'e göre bu kötü amaçlı yazılım, Britney Spears'ın Instagram hesabına yüklenen bir fotoğrafın yorumlar bölümüne bağlanıyor. Açıklama şu şekilde:
Fotoğrafın yorumlarını incelersek, aynı hashtage sahip 183 tane yorum olduğunu görüyoruz. Bu yorum ise 6 Şubatta yayınlandı, oysa orijinal fotoğraf Ocak başında yayınlanmıştı. Yorumu ele alıp regex aracılığıyla çalıştırdığınızda şu bit.ly URL'sini elinize geçiyor.
- http://bit.ly/2kdhuHX (yönlendirmeyi engellemek için değiştirilmiştir, tıklamayın)
Yorumdaki ifadelere biraz daha yakından bakacak olursak şu şekilde kodlandığını görüyoruz:
- smith2155< 200d >#2hot ma< 200d >ke lovei< 200d >d to < 200d >her, < 200d >uupss < 200d >#Hot < 200d >#X
Göründüğü üzere bit.ly URL’sinin her karakteri yorumun içinde yer alıyor.
Gelelim iyi habere. Firefox bu tip atakları engellemek için eklentileri yöneten yeni bir API yazılımı geliştiriyor. Turla ekibinin yaptığı bütün ataklarda eski Firefox sistemleri kullandıkları bildiriliyor.
