Chrome Extensionlarından Bulaşan Malware/Adware İncelemesi

Merhaba arkadaşlar, Uzun zaman sonra yazılım geliştirme ve bug fix konuları dışına çıkıyorum.Dün gece rastladığım chrome extensionlarından kaynaklanan malware/adware virüsü üzerine yaptığım bir incelemeyi paylaşayım sizlerle.Karşılaştığım zararlı script dosyalarının kaynak kodlarını da yazının en altında tek tek linkledim.

Hemen her linux kullanıcısının kullandığı gibi bende chromium-browser kullanıyorum.Fakat dün gece bir detay fark ettim.Yeni sekme açınca beni "chrome-updates.win/s.html" diye bir siteye yönlendirmeye başladı tarayıcım.Ve bu da yetmezmiş gibi açtığım sayfalar da gereksiz reklamlar göstermeye başladı.Hatta detaylı incelediğim de arkada bir de tokenlarımın kaydedildiğini farkettim.Sorunu tabii ki de bulmalıydım :)

Yönlendirmenin nasıl yapıldığını ve reklamların nereden geldiğini bulmak için onlarca kez yeni sekme açıp kapattım ve chromium'da bulunan javascript console'u incelemeye başladım.Aynı anda da chrome'un başka bir extension'ı olan postman interceptor ile gelen giden istekleri takip ettim.Finally, I found it :)

Şu an da hangi extensionlara bulaştığını bilmesem de ben kullandığım bir proxy extension'ı yüzünden yaşadım bu problemi.Problemin kaynağı ise bu extension'ın içinde bulunan "insertion.js" dosyası.Bu dosya kendini Chromium'un "newtab-serviceworker.js" scriptine migrate ediyor ve çalıştığı anda kendi işlevi dışında ek olarak zamanla encode edilmiş bir md5 hash oluşturup "unpkg.com" domaini altında ki başka bir zararlı javascript dosyasını çağırıyor.(Kodları inceleyince o gün ve o saate özel bir javascript dosyasını çağırdığını anlayabilirsiniz.) Bu javascript dosyası sizi "chrome-updates.win/s.html" adresine yönlendiriyor.Ve bu adreste de "firebase_subscribe.js" zararlısı çağırılıp sizin tokenlarınızı topluyor.Bunun yanında da ek olarak reklam göstermek için "*.buywork.men" domaini üzerinden yeni bir javascript zararlısı çağırıyor.Bu sayfa da size gereksiz reklamlar döndürüyor.

Adım adım inceleyecek olursak;

  • insertion.js Burada bir md5 generator görüyoruz javascript ile yazılmış olan.Bu generator'ı kullanarak tarayıcınızın o anki gün/ay/yıl bilgilerini alıp bir hash ile version oluşturuyor.Daha sonra da saat bilgisini alıp dosya adını oluşturuyor.Bunları da 213.satırda görebilirsiniz.Burada ve buradan sonra ki dosyalarda URL'lere dikkat ederseniz basit bir obfuscation denemesi yapıldığını da görebilirsiniz.

  • unpkg içinde bulunan zararlı js dosyası Burada bir de dallanma mevcut, birinde sizi firebase_subscribe'ın olduğu s.html dosyasına diğerinde de buywork.men'de ki reklam gösteren zararlıya yönlendiriyor.Ve tarayıcınızın cookielerine "_redirected" keyi ile "yes" değerini yerleştiriyor.

  • s.html + firebase_subscribe.js Burada tarayıcınıza özel bir unique id üretilip tokenlarınız toplanıyor.Ek olarak bir de yanlış anlamadıysam clickjacking yerleştirilmiş durumda.

  • buywork reklamı Burada da tarayıcınıza özel oluşturulan bir pid ile size özel reklamlar gösteriliyor.Hangi reklamın geleceğini "b.buywork.men" adresinin altında ki zararlı "p.buywork.men" adresinden getiriyor.

Kodları detaylı incelemeniz için paylaşayım;

Zararlının izlediği kaynak URL'ler;

Çözüm olarak, ".buywork.men", "cloudfl.pro", "*.cpl11.ru", "chrome-updates.win*" domainlerini engelleyebilirsiniz ve tarayıcılarınızla onların extensionlarını güncel tutabilirsiniz.

İyi çalışmalar, kolay gelsin..


Tags: chrome, chromium, extensions, malware, adware, analysis