Siber korsanlar Chrome eklentisiyle akademik kullanıcıları hedefliyor

Kuzey Kore’nin desteklediği bir grup siber korsanın kullanıcıların web tarayıcılarındaki kullanıcı adı, parolaları ve çerezleri çalmak için Google Chrome eklentisi kullandıkları ortaya çıktı. 2018 yılının Mayıs ayından bu yana sürdürülen saldırıda, kullanıcıların cihazlarına bulaştırmak için yoğun bir oltalama kampanyası yürütüldüğü belirlendi.

Siber korsanlar, çeşitli akademik organizasyonlardan kopyaladıkları Web siteleri ve e-posta mesajlarıyla kullanıcılara bir PDF dosyası gönderiyorlar. PDF dosyası açılmaya çalışıldığında kullanıcıyı Chrome’un resmi eklenti mağazasına yönlendirerek Auto Font Manager adlı eklentiyi yüklemesi isteniyor. Chrome mağazasından an itibariyle kaldırılmış olan bu eklenti bulaştığı kullanıcının web tarayıcısında bulunan kullanıcı adları ve parolaları siber korsanlara gönderiyor.

Araştırmacılara göre eklenti, Chrome web tarayıcısında bulunan çerezleri ve parolaları siber korsanlara gönderebiliyor. Saldırıyı tespit eden Netscout yetkilileri korsanların akademik kullanıcıları hedeflediklerini ve saldırıdan etkilenen çeşitli isimleri belirlediklerini söylediler. Saldırıdan şu ana kadar ABD’de 3, Asya bölgesinde de bir üniversite etkilenmiş.