2025年9月11日Ravie Lakshmananマルバタイジング / ブラウザーセキュリティ
サイバーセキュリティ研究者は、悪意のある広告や偽のウェブサイトを利用して偽のブラウザー拡張機能を配布し、機密データを盗む2つの新たなキャンペーンを明らかにしました。
Bitdefenderによると、このマルバタイジングキャンペーンは、FacebookやInstagramのプロフィールに青い認証バッジを付与すると称するSocialMetrics Proという偽の「Meta Verified」ブラウザー拡張機能を拡散することを目的としています。少なくとも37件の悪意ある広告がこの拡張機能を配布していることが確認されています。
「悪意のある広告には、Facebookの青い認証マークや他の特別な機能を解除できると称する、いわゆるブラウザー拡張機能のダウンロード・インストール手順を案内するビデオチュートリアルが同梱されています」と、ルーマニアのサイバーセキュリティベンダーは述べています。
しかし実際には、この拡張機能はBoxという正規のクラウドサービス上にホストされており、Facebookのセッションクッキーを収集して攻撃者が管理するTelegramボットに送信する能力を持っています。また、ipinfo[.]io/jsonへのクエリを送信することで被害者のIPアドレスも取得できます。
この不正なブラウザーアドオンの一部バリエーションは、盗んだクッキーを使ってFacebook Graph APIとやり取りし、アカウントに関連する追加情報を取得している可能性が観察されています。過去には、NodeStealerのようなマルウェアがFacebook Graph APIを利用してアカウントの予算情報を収集していました。
これらの活動の最終的な目的は、価値のあるFacebookビジネスおよび広告アカウントを地下フォーラムで他の詐欺師に販売したり、さらなるマルバタイジングキャンペーンに再利用して、より多くのアカウント乗っ取りを引き起こすことです。これにより、自己増殖的なサイクルが生まれます。
このキャンペーンは、ベトナム語話者の脅威アクターに典型的な「指紋」をすべて示しています。彼らは、知られているように、さまざまなスティーラー系マルウェアを用いてFacebookアカウントを標的とし、不正アクセスを得ています。この仮説は、チュートリアルのナレーションやソースコードのコメントにベトナム語が使われていることからも裏付けられます。
「信頼されたプラットフォームを利用することで、攻撃者は大量のリンクを生成し、それらを自動的にチュートリアルに埋め込み、キャンペーンを継続的に更新できます」とBitdefenderは述べています。「これは、広告画像からチュートリアルまで、すべてが大量生産されるマルバタイジングの工業化という、より大きな傾向に合致しています。」
また、別のキャンペーンも明らかになっており、Metaの広告主を標的に、FacebookやInstagram向けのAI(人工知能)搭載広告最適化ツールを装った偽サイト経由で不正なChrome拡張機能を配布しています。この作戦の中心には、Madgicx Plusという偽プラットフォームがあります。
「人工知能を活用してキャンペーン管理を効率化し、ROIを向上させるツールとして宣伝されていますが、実際にはビジネスセッションの乗っ取りや認証情報の窃取、Metaビジネスアカウントの侵害などの悪意ある機能を持っています」とCybereasonは述べています。
「これらの拡張機能は生産性や広告パフォーマンス向上ツールとして宣伝されていますが、実際には認証情報の窃取やセッショントークンへのアクセス、アカウント乗っ取りを可能にする二重目的のマルウェアとして機能します。
これらの拡張機能のうち、最初のものは執筆時点でもChromeウェブストアからダウンロード可能で、以下の通りリストされています。
- Madgicx Plus – Meta広告主向けスーパーアプリ(ID: eoalbaojjblgndkffciljmiddhgjdldh) – 2025年2月公開(28インストール)
- Meta Ads SuperTool(ID: cpigbbjhchinhpamicodkkcpihjjjlia) – 2025年3月公開(11インストール)
- Madgicx X Ads – Meta広告主向けスーパーアプリ(ID: cpigbbjhchinhpamicodkkcpihjjjlia) – 2025年3月公開(3インストール)
インストールされると、この拡張機能はユーザーが訪問するすべてのウェブサイトへの完全なアクセス権を取得し、脅威アクターが任意のスクリプトを注入したり、ネットワークトラフィックを傍受・改ざんしたり、閲覧活動を監視したり、フォーム入力を記録したり、機密データを収集したりできるようになります。
また、サービス利用のためにFacebookやGoogleアカウントの連携を促しますが、その裏でユーザーの身元情報が密かに収集されます。さらに、これらのアドオンは前述の偽Meta Verified拡張機能と同様に、被害者から盗んだFacebook認証情報を使ってFacebook Graph APIとやり取りします。
「この段階的なアプローチは、まずGoogleの身元データを取得し、その後Facebookに軸足を移すことで、アクセス範囲を広げ、価値のあるビジネスや広告資産の乗っ取りの可能性を高めるという脅威アクターの明確な戦略を示しています」とCybereasonは述べています。
翻訳元: https://thehackernews.com/2025/09/fake-madgicx-plus-and-socialmetrics.html