Sahte AI Uzantıları ile 260,000 Chrome Kullanıcısı Tehlikeye Girdi

260,000'den fazla Chrome kullanıcısı, yararlı bir AI asistanı olarak etiketlenmiş tarayıcı uzantılarını farkında olmadan yükledi. LayerX araştırmacılarına göre, koordineli kampanya, ChatGPT ve Claude gibi hizmetler olarak kendini tanıtan 30'dan fazla sahte Chrome uzantısını içeriyordu.

Google'ın tarayıcısının ilk sürümünü piyasaya sürmesinden bu yana, kötü niyetli Chrome uzantılarına dair birçok örnek gördük. Google, sahte VPN uzantıları ve tamamen kötü niyetli uzantılar'dan, sofistike oturum tekrar yazılımına kadar birçok örnekle karşılaştık. Yeni eklenen uzantılar, AI verimlilik araçları olarak pazarlanırken, casus yazılım yayarak tarayıcı ve Gmail verilerini çalıyordu.

Sahte AI Uzantıları Chrome Web Mağazasında Nasıl Çalıştı?

Araştırmacılar, kötü niyetli AI uzantılarının neredeyse aynı kod, izinler ve arka uç altyapısı paylaştığını keşfetti. Farklı isimler ve markalarla ayrı araçlar olarak görünmek yerine, aynı temel yapıya dayanıyordu.

Güvenlik araştırmacısı Natalie Zargarov, kampanyanın kullanıcıların AI arayüzlerine olan güvenini istismar ettiğini açıkladı:

Güvenilir AI arayüzlerini taklit eden iframe'ler ekleyerek, API anahtarlarından kişisel verilere kadar her şeyi ele geçiren neredeyse görünmez bir adam-arada saldırısı yarattılar.

Saldırı, kullanıcıların zaten detaylı bilgi paylaşmaya alıştığı normal AI etkileşimlerine entegre olduğu için özellikle etkiliydi.

AiFrame Uzantı Mimarisi Açıklandı

Operasyonun merkezinde, araştırmacıların AiFrame uzantı mimarisi olarak adlandırdığı yapı vardı.

Uzantılar, Google tarafından kurulum sırasında incelenen uzantı kodunun içine tam işlevsellik yerleştirmek yerine:

Uzak alanlardan tam ekran iframe yükledi (örneğin, tapnetic[.]pro'nun alt alanları)
Mevcut web sayfasının üzerine geldi
Sahte bir AI arayüzü olarak davrandı
Arka uç sunuculardan dinamik olarak talimatlar çekti

Bu yapı, saldırganların uzaktan davranış değiştirmesine olanak tanıdı, böylece Chrome Web Mağazası'na güncellenmiş bir sürüm göndermeden değişiklik yapabiliyorlardı. Başka bir deyişle, kullanıcıların yüklediği şey, daha sonra çalışan şey olmayabilirdi.

Kampanyada Kullanılan En Çok İndirilen Kötü Niyetli AI Uzantıları

Kampanya verilerine göre, AiFrame operasyonuna bağlı en yaygın kurulan uzantı, Gemini AI Sidebar (ID: fppbiomdkfbhgjjdmojlogeceejinadg) oldu ve Chrome Web Mağazası'ndan kaldırılmadan önce 80,000 kullanıcıya ulaştı.

Bu kaldırmaya rağmen, BleepingComputer, Google'ın Chrome uzantı deposunda hala mevcut olan birkaç ek uzantıyı tanımladı. Bu eklerin bazıları farklı kamu adları kullanmasına rağmen, uzantı kimlikleri aynı daha geniş kampanyanın bir parçası olduklarını doğruluyor.

Örnekler arasında:

AI Sidebar (gghdfkafnhfpaooiolhncejnlgglhkhe) – 70,000 kullanıcı
AI Assistant (nlhpidbjmmffhoogcennoiopekbiglbp) – 60,000 kullanıcı
ChatGPT Translate (acaeafediijmccnjlokgcdiojiljfpbe) – 30,000 kullanıcı
AI GPT (kblengdlefjpjkekanpoidgoghdngdgl) – 20,000 kullanıcı
ChatGPT (llojfncgbabajmdglnkbhmiebiinohek) – 20,000 kullanıcı
AI Sidebar (djhjckkfgancelbmgcamjimgphaphjdl) – 10,000 kullanıcı
Google Gemini (fdlagfnfaheppaigholhoojabfaapnhb) – 10,000 kullanıcı

LayerX'teki güvenlik araştırmacıları, uzantıları analiz ederek, tanımlanan 30 eklentinin hepsinin aynı iç mimariye sahip olduğunu belirledi. Bu, aynı JavaScript kod tabanını, izin yapısını ve arka uç altyapısını içeriyor.

Gmail, En Önemli Hedeflerden Biriydi

On beş kötü niyetli uzantı özellikle Gmail kullanıcılarını hedef aldı.

Bu sürümler:

mail.google.com'da document_start aşamasında etkinleşti
Gmail arayüzüne arayüz öğeleri ekledi
Dinamizmi korumak için MutationObserver betikleri kullandı
E-posta dizilerine erişti ve bazı durumlarda taslak içeriklere ulaştı
Çıkarılan verileri uzak sunuculara iletti

Uzantılar izinlerine sahip olduğundan, kullanıcıların ziyaret ettiği hemen hemen her siteye (kurumsal panolar ve SaaS platformları dahil) erişim sağlayabiliyordu.

Kurumsal Riskler ve Veri Sızdırma

Endişe, sadece basit kullanıcılarla sınırlı değil. Bu uzantılar, etkili bir şekilde uzaktan kontrol edilen erişim aracılığı işlevi gördü.

Özel tarayıcı izinlerini arka uç kontrol edilen arayüzlerle birleştirerek, saldırganlar şunları yapabildi:

Mozilla'nın Readability kütüphanesini kullanarak yapılandırılmış sayfa verilerini çekmek
Başlıkları, makale metinlerini ve meta verileri çıkarmak
Kimlik doğrulama oturumları içinde hassas kurumsal verileri yakalamak
Verileri hedeflenen tarayıcı güvenlik sınırlarının dışına iletmek

Kampanyanın arkasındaki altyapı, tapnetic[.]pro altında temalı alt alanlara dayanıyordu ve hızlı uzantı yayma taktikleri kullanıyordu. Bir uzantı Chrome Web Mağazası'ndan kaldırıldığında, hemen ardından neredeyse aynı kopyalar yeni tanımlayıcılar altında ortaya çıkıyordu.

Sahte AI Uzantıları Saldırısını Farklı Kılan Nedir?

Sahte AI uzantı kampanyasını farklı kılan sadece ölçek değil.

Modern tarayıcı uzantıları, uç nokta yazılımlarına benzer erişim seviyelerine sahiptir. Şunlarla birleştirildiğinde:

Otomatik güncellemeler
Uzaktan içerik yükleme
Geniş site izinleri

Güçlü casus mekanizmaları haline gelirler. Kötü niyetli mantığın büyük bir kısmı uzaktan yaşadığı için, bireysel uzantılara karşı uygulanan yaptırımların sınırlı etkisi oldu.

Yetkisiz Ağ Erişimini Tespit Etme ve Önleme Stratejileri

Güvenlik uzmanları, bugün kuruluşunuzda uygulayabileceğiniz çok katmanlı bir savunma yaklaşımını önermektedir:

Uzantı Yüklemelerini Kısıtlayın. Sadece onaylı tarayıcı eklentilerine izin verin.
Yüksek Riskli İzinleri İzleyin. , çerez erişimi veya içerik betiği enjeksiyonu talep eden uzantıları işaretleyin.
Telemetreyi İzleyin. Olağandışı DOM kazıma, iframe enjeksiyonu ve şüpheli dış bağlantılar için izleme yapın.
Ağ Kontrollerini Uygulayın. DNS filtreleme, çıkış izleme ve veri kaybı önleme (DLP) kullanın.
Kimlik Koruma Önlemlerini Güçlendirin. MFA, cihaz güven politikaları ve en az ayrıcalık erişimi uygulayın.
Düzenli Denetim Yapın. Uzantı yayılmasını tespit etmek için tehdit avcılığı ve tarayıcı yapılandırma incelemeleri gerçekleştirin.

Büyüyen AI Temalı Tehditler

Bu kampanya, hackerların AI araçlarının güvenini ve popülaritesini kendi lehlerine kullandığını gösteriyor.

AI asistanları günlük çalışmalara derinlemesine entegre oldukça, saldırganlar hassas bilgileri toplamak için arayüzlerini giderek daha fazla taklit ediyorlar.

Kullanıcılar ve işletmeler için ders açıktır:
Tarayıcı uzantıları, kurulu yazılımlar kadar dikkatle incelenmelidir.

Yorumlar

(9 Yorum)

EY

Ekin Yıldırım

Bu sahte AI uzantılarının bu kadar yaygın hale gelmesi gerçekten korkutucu. Kullanıcıların güvenini istismar eden bu tür saldırılar, teknolojinin kötüye kullanılması açısından ciddi bir sorun.
MÇ

Mira Çelik

Chrome uzantılarıyla ilgili bu tür kötü niyetli faaliyetler hakkında daha fazla bilgi edinmek istiyorum. Kullanıcılar olarak ne gibi önlemler alabiliriz? Bu konuda bir rehber var mı?
BU

Barış Uysal

Sahte AI uzantılarının nasıl çalıştığını anlamak için yazıyı dikkatle okudum. Özellikle Gmail kullanıcılarının hedef alınması beni endişelendiriyor. Bu konuda daha fazla bilgiye ulaşmak zorundayız.
ZD

Zeynep Duman

Bu tür uzantıların kullanıcı verilerini çalması, internet güvenliği açısından büyük bir tehdit oluşturuyor. Kullanıcıların bu konuda bilinçlenmesi ve dikkatli olması gerekiyor. Ne yazık ki, herkes bu tehlikelerin farkında değil.
KY

Kaan Yalçın

Yazıda bahsedilen AiFrame uzantı mimarisi gerçekten ilginç. Bu kadar karmaşık bir yapı ile kullanıcıları kandırmak için nasıl bir zihin yapısına sahip olmak gerekiyor? Teknoloji kötüye kullanıldığında sonuçları çok ağır olabiliyor.
LA

Lara Aydin

Sahte AI uzantıları ile ilgili bu yazıyı okuduktan sonra, Chrome uzantılarımı gözden geçirmem gerektiğini düşünüyorum. Kendi güvenliğimi sağlamak için daha dikkatli olmalıyım. Peki ya diğer tarayıcılar? Onlar da tehlikede mi?
EK

Emirhan Koç

Bu yazıda bahsedilen uzantıların nasıl bu kadar hızlı yayıldığı çok ilginç. Kullanıcıların bu tür tehlikelerden korunması için daha fazla eğitim verilmesi gerektiğini düşünüyorum. Eğitim şart!
SE

Seda Erdem

Sahte uzantıların bu kadar yaygınlaşması, internet güvenliğinin ne kadar önemli olduğunu bir kez daha gösteriyor. Kullanıcıların dikkatli olması ve bilinçli seçimler yapması gerekiyor. Bu konuda daha fazla farkındalık yaratmalıyız.
CA

Cenk Altan

Sahte AI uzantılarıyla ilgili bu yazı, kullanıcıların güvenliğini tehdit eden ciddi bir durumu ortaya koyuyor. Bu tür uzantılara karşı daha etkili önlemler almanın yollarını bulmalıyız. Teknolojiye güvenmek zorundayız ama dikkatli olmalıyız.