Ana içeriğe atla
Mozilla Sahte Eklentiler Soruşturması
Araştırma • Okuma süresi: 6–8 dakika

150'den Fazla Sahte Mozilla Eklentisi — Tek Arka Uç ve Ücretli Reklam Kanalları

Medya, 150’den fazla sahte Mozilla eklentisinin sorumlusu olarak “Rus ayıları”nı gösterdi. Bulgularımız, Nijeryalı bir altyapıyı (IP 185.208.156.66), yeniden kullanılan kimlik avı kitlerini ve ücretli makalelerin bu efsanenin yayılmasına nasıl katkıda bulunduğunu ortaya koyuyor.

İlk olarak şu tarihte yayınlanmıştır: Orta — PhishDestroy

Yanıltıcı Anlatı

Şu konuyla ilgili bir hikâye: "150'den fazla sahte Mozilla eklentisi" Sözde “Rus izi”yle bağlantılı olduğu iddia edilen haber, önde gelen kripto ve güvenlik yayın organlarında geniş yer buldu. Kulağa dramatik gelse de, analizimiz bu anlatının yanıltıcı olduğunu gösteriyor — ve daha da kötüsü, gerçek failleri korur.

Tek Bir Arka Uçta 150'den Fazla Düşük Kaliteli Eklenti

Bu kampanyadaki tüm uzantılar şunlardı:

  • Özgün değil, kopyala-yapıştır kalitesinde.
  • Sadece logolar ve isimler farklıydı.
  • Hepsi bir tek arka uç.
Arka uç IP adresi: 185.208.156.66
Arka uç etki alanı şuydu: alladdsite[.]digital/app.php. Bu IP adresine bağlı alan adlarının çoğu artık aktif değil, ancak arşivler Urlscan ve WebArchive aracılığıyla anlık görüntüleri saklamıştır.

Bu Kampanyaya Karşı Aldığımız Önlemler

Oltalama ve dolandırıcılık altyapılarının kaldırmaları konusunda uzmanlaşmış bağımsız bir tehdit istihbarat grubu olarak, biz:

  • Kötü amaçlı uzantıları bildirmek üzere raporları doğrudan Mozilla’ya ilettik.
  • Şu birime iletildi: Mühür, yasağın yürürlüğe girmesini hızlandırmak amacıyla profesyonel yardım talep ederek.
  • Topluluğun bilgilendirilmesi amacıyla Chainabuse hakkında bir rapor yayınlandı.
  • Çalınan verileri bozmak amacıyla saldırganların arka ucuna milyonlarca boş tohum cümlesi enjekte etti.

Neden Bu "Rus" Altyapısı Değil?

Rusça konuşan siber tehdit aktörleri genellikle şunları kullanır:

  • Dağıtık arka uçlar (Cloudflare Workers, Firebase, Amazon, her kampanyaya özel bağlantılar).
  • Tek bir arıza noktasının oluşmasını önlemek için kod karmaşıklığı ve yedeklilik.

Bunun yerine, bu kampanya şunu gösterdi:

  • A Nijeryalı barındırma hizmeti sağlayıcısı.
  • Banka dolandırıcılıkları, sahte kripto cüzdanları ve sahte teslimat dolandırıcılıklarıyla bağlantılı komşu alan adları.
  • Bir Telegram hesabı, bir [...]. ile bağlantılı çalınmış verileri almaktadır. Nijeryalı operatör.
"Rus gruplar gelişmiş altyapılar kuruyor. Bu ise ucuz, merkezi ve basit bir yapıydı — tam da daha önce Nijeryalı sunucularda gördüğümüz gibi."

Ücretli Medya Sorunu

Ücretli medya reklamları ciddi sonuçlar doğurur:

  1. Saygın bir yayında ücretli bir makale yayınlandı.
  2. Yüzlerce küçük web sitesi, blog ve Telegram kanalı bu içeriği yeniden yazıyor ya da çeviriyor.
  3. Birkaç gün içinde, bu olay, inandırıcılık yanılsaması yaratan devasa bir sahte anlatıya dönüşür.
"Mağdurlar 'Rus izini' görüyor, davanın kapandığını düşünüyor ve yetkililere bildirimde bulunmayı bırakıyor. Gerçek suçlular ise cezasız kalıyor."

Örnek: Angel Drainer

Tüm büyük haber kaynakları şu konuyla ilgili manşetler attı: "Geliştiriciler tespit edildikten sonra Angel Drainer kapatıldı." Peki bu doğru muydu — yoksa sadece inandırıcı görünene kadar tekrarlanan bir başka ücretli reklam mıydı? Suçlular için makale satın almak cep harçlığı kadar bir şey; kurbanlar içinse her şeyi değiştiriyor.

Kendi Halkla İlişkiler Hizmetlerini Satın Alan Siber Güvenlik Şirketleri

Siber güvenlik şirketleri, kendileri, araştırmaları ve etkileriyle ilgili makaleler için on binlerce dolar ödüyor. Bu durum, temel bazı soruları gündeme getiriyor:

  • Gerçek bir siber güvenlik ekibi neden sigorta primi ödemek zorunda kalır?
  • Gerçek hackerın izlerini örtbas etmeye mi çalışıyorlar?
  • Ya da şantaj yapmak ya da rekabet avantajı elde etmek için hackerın kimliğini kullanabilir mi?
  • Bunun amacı güveni güçlendirmek mi, yoksa kâr elde etmek için algıyı manipüle etmek mi?
"Siber güvenlik, gerçeklerin kimin daha fazla para ödediğine göre şekillendirildiği bir başka halkla ilişkiler oyununa dönüşürse, bu alandaki güven çöker."

Piyasanın Kanıtı

Bu uygulama gizli değil:

  • Fiverr, Upwork ve özel PR platformlarında “konuk yazıları”nı doğrudan satın alabilirsiniz.
  • Hizmet sağlayıcılar, tanınmış siber güvenlik markaları da dahil olmak üzere, onlarca satış noktası ve fiyatın yer aldığı Google E-Tablolarını gönderiyor.
  • Bazıları şöyle vaat ediyor: "Ek ücret karşılığında sponsorlu etiket yok."

Makale satın almaya yönelik belirtilen hedefler şunlardır:

  • Bağlantı Oluşturma (SEO).
  • Trafik ve Satış.
  • Marka Bilinirliği.
  • İtibar Yönetimi (olumsuzlukları ortadan kaldırma).
  • Sosyal Doğrulama.
  • Vize Başvuruları için Yayın Listeleri.

Bahsedilen maliyetler şunları da içermektedir: $20,000 büyük kripto medya kuruluşlarının ücretli röportaj zaman dilimleri için.

"Bu gazetecilik değil. Burası bir pazar — güvenilirliğin alınıp satıldığı bir yer."

İş Dünyası ve Yalanlar

Ücretli içerik yayınlamak yasa dışı değildir — bu bir iş modelidir. Ancak bu durum, yanlış iddialar yayınlamak, soruşturmaları yanlış yönlendirmek ve halkla ilişkiler faaliyetlerini gerçekmiş gibi göstermek, o zaman sorunun bir parçası haline gelir.

Sonuç

PhishDestroy, herhangi bir ücret almayan, reklam satmayan ve kâr amacı gütmeyen bağımsız bir siber güvenlik girişimidir. Gerçekler ortada:

  • 150'den fazla Mozilla eklentisi, Nijerya'daki bir barındırma sunucusundaki tek bir arka uca yönlendirilmiştir.
  • Veriler Nijeryalı bir Telegram hesabına gönderildi.
  • "Rus izi" anlatısı uydurmadır.
  • Ücretli medya haberleri, bu uydurmayı gerçekmiş gibi görünene kadar yaygınlaştırdı.
  • Siber güvenlik şirketleri bile kendi reklamları için para ödüyor.
"Reklam satmak bir iştir. Yalanları gerçekmiş gibi satmak ise suçluları korur. Ve siber güvenlik bile uydurma hikayeler satmaya başladığında, mağdurlar — ve adalet — kaybeder."

Yasal Uyarı

Hiçbir kişiyi, şirketi veya medya kuruluşunu suçlamıyoruz. Tüm bilgiler açık kaynaklıdır ve kamu arşivleri, taramalar ve raporlar aracılığıyla doğrulanabilir. Asıl soru şudur: Bu tür anlatılar neden kontrol altına alınıp yaygınlaştırılıyor? Tanınmayan bir güvenlik şirketi, dikkatleri asıl sorumlulardan başka yöne çeken, hatalı bir “büyük çaplı araştırma” yayınladığında bundan kim yararlanıyor?

#MozillaExtensions#PaidMedia#Disinformation#ThreatIntel#OSINT

Bu Araştırmayı Paylaş

X / Twitter Telegram Reddit LinkedIn

İlgili Soruşturmalar

Keitaro TDS: 1.500 Panel Açığa Çıktı, Hiçbir Meşru Kullanım Alanı Yok
SORUŞTURMA
Keitaro TDS: 1.500 Panel Açığa Çıktı, Hiçbir Meşru Kullanım Alanı Yok
Steam BlockBlasters Kötü Amaçlı Yazılımı: Platformun İhmali Ortaya Çıktı
SORUŞTURMA
Steam BlockBlasters Kötü Amaçlı Yazılımı: Platformun İhmali Ortaya Çıktı
Dolandırıcılar Ortaya Çıktı: 4 Dolandırıcılık Arka Ucu İncelendi
SORUŞTURMA
Dolandırıcılar Ortaya Çıktı: 4 Dolandırıcılık Arka Ucu İncelendi
Şeffaflık bildirimi. PhishDestroy, ticari amaç gütmeyen, bağımsız bir projedir. Yaptığımız araştırmalar, dolandırıcılık altyapısına ve bunu mümkün kılan hizmetlere karşı içsel bir önyargı içerebilir. Okuyucularımızı, tüm içerikleri eleştirel ve bağımsız bir bakış açısıyla değerlendirmeye davet ediyoruz. Şeffaflık beyanımızın tamamını okuyun →