Security researchers at Microsoft Microsoft Edge ve Microsoft Edge için yapay zeka asistanları Google Chrome kılığına girmiş kötü amaçlı tarayıcı eklentilerini içeren bir kampanya tespit ettik; bu kampanya kullanıcı sohbet konuşmalarını ve gezinme faaliyetlerini gizlice topladı. Bulgulara göre, uzantılar yaklaşık 900.000 kullanıcı tarafından kurulmuştur.
Uzantılar Web Store üzerinden Chrome dağıtıldı ve yapay zeka özellikleriyle gezinmeyi geliştirmek için tasarlanmış meşru verimlilik araçları olarak kendilerini sundu. Pratikte, yazılım, çevrimiçi yapay zeka hizmetleriyle etkileşimde bulunan kullanıcılardan hassas bilgileri toplayan casus yazılım olarak çalışıyordu. Araştırmacılar, araçların ChatGPT ve DeepSeek gibi platformlardan yapılan konuşmaları ve enfekte olan tarayıcıdan gezinme verilerini topladığını söyledi.
Kampanya, meşru yapay zeka uzantılarını taklit eden ikna edici markalaşma ve açıklamalara dayanıyordu. Eklentiler, yaygın olarak kullanılan verimlilik araçlarına benzeydiği için, kullanıcılar bunları kötü niyetli olduklarının farkında olmadan normal tarayıcı eklenti pazarları üzerinden yüklediler. Araştırmacılar ayrıca otomatik tarayıcı ajanlarının listelerin güvenilir göründüğü için uzantıları otomatik olarak indirdiği vakaları gözlemlediler.
Bir kez yüklendikten sonra, uzantılar standart tarayıcı eklentileri gibi davranıyordu. Web sitelerindeki içeriği okumalarına ve kullanıcı aktivitelerini izlemelerine izin veren izinler talep ettiler. Güvenlik uzmanları, bu tür izinlerin tarayıcı uzantıları için yaygın olduğunu, bu da kötü amaçlı sürümlerin kurulum sırasında tespit edilmesini zorlaştırdığını söylüyor.
Casus yazılım, enfekte cihazda yerel olarak veri topladı ve ardından saldırganlar tarafından kontrol edilen altyapıya aktardı. Analize göre, bilgiler periyodik olarak uzak sunuculara iletilir, böylece operatörler tarama faaliyetleri ve yapay zeka hizmetleriyle etkileşimlere sürekli görünürlük sağlayabilmektedir.
Araştırmacılar, uzantıların 20.000’den fazla kurumsal ortamda aktif olduğunu, bu da kampanyanın hem kurumsal bilgileri hem de kişisel verileri ortaya çıkarmış olabileceğini gösteriyor. Yapay zeka sistemleriyle yapılan konuşmalar genellikle özel kod, iç iş görüşmeleri veya kişisel bilgiler gibi hassas materyaller içerir. Bu tür verilere erişim, saldırganların kurumsal casusluk, kimlik hırsızlığı veya hedefli oltalama kampanyaları yürütmesine olanak tanıyabilir.
Tarayıcı uzantıları, yaygın olarak güvenilir ve kurulumu kolay olduğu için artan bir güvenlik endişesi oluşturuyor. Bir tarayıcıya eklendikten sonra, sayfa içeriğine ve kullanıcı etkinliğine geniş erişim sağlayabilirler. Güvenlik araştırmacıları, bu erişim seviyesinin, uzantılar ele geçirildiğinde veya veri toplamak için kasıtlı olarak tasarlandığında potansiyel bir saldırı alanı oluşturduğunu belirtiyor.
Bu keşif, yapay zeka araçlarını geliştirmeyi veya chatbotları web gezintisine entegre etmeyi amaçlayan tarayıcı eklentilerinin yüklenmesinin risklerini gözler önüne seriyor. Güvenlik uzmanları, kuruluşların kurumsal ortamlarda eklenti kullanımını izlemelerini ve kurulumları güvenilen geliştiricilerle sınırlamalarını önerir. Ayrıca kullanıcılara düzenli olarak yüklenen eklentileri gözden geçirmelerini ve alışılmadık veya gereksiz araçları kaldırmalarını tavsiye ederler.
Kampanya, kötü niyetli aktörlerin casus yazılım yaymak için meşru dağıtım kanallarını ve tanıdık markaları nasıl kullanabileceğini gösteriyor. Görünüşte faydalı yapay zeka araçlarına veri toplama fonksiyonlarını gömmeklere, saldırganlar geleneksel yazılım açıklarını kullanmadan çok sayıda kullanıcıdan bilgi toplayabilir.