一般的に、人気のあるブラウザエクステンションは無害で実用的なツールとして認識されてきました。カラーピッカー、広告ブロッカー、オーディオアンプリファイアなど、何の害もない実装です。しかし、7AIのセキュリティアナリストは、ChromeとEdgeの洗練された大規模なシンジケートを暴露しました。これらの控えめなユーティリティを、ユーザーのブラウジングコンテキスト内で悪意あるJavaScriptを秘密裏に実行するために設計された強力なプラットフォームに変換することに成功しました。
この構造的脅威クラスターはPhoenix Invictaと指定されています。2025年1月にソフトウェア研究者Wladimir Palantによって最初に暴露されましたが、最新の法医学的調査により、ネットワークの運用規模と潜在的危険性は初期のテレメトリが示唆したよりもはるかに深刻であることが明らかになりました。調査員は、インフラに固有に関連する約60のドメインを特定し、22の侵害されたエクステンションを検証し、オペレーターが積極的にアーキテクチャを反復・拡張していることを確認しました。
調査は、カラーパレット選択用に作成されたMyColorPickという控えめなアセットから始まりました。インストール後、アナリストは、ブラウザがすべてのナビゲートされたウェブページにおいて、redirect_checker.jsという外部ファイルの未認可の取り込みを開始したことを観察しました。ペイロードはウェブホストではなく、エクステンション自体によってネイティブに注入されました。その後の逆コンパイルにより、これらのエクステンションはリモートコマンドノードからの指令を取り込み、訪問したドメインの論理的境界内で任意のJavaScriptを実行することが可能であることが明らかになりました。
このマルウェアアーキテクチャの決定的な成果は、Manifest V3の体系的な回避です。Manifest V3はGoogle Chromeの現代的なセキュリティパラダイムで、エクステンションがリモートホストコードブロックを実行することを明示的に禁止するように設計されています。Phoenix Invictaは明確な回避方法を策定しました。エクステンションはすべてのウェブサイト全体でデータを読み取り、変更する広範な権限を要求し、体系的にインバウンドトラフィックからContent Security Policy(CSP)ヘッダーを削除し、その後オペレーターのインフラから指令を取得するためにDOMにカスタムの<script>タグを注入します。その結果、ブラウザは悪意あるペイロードを正当なウェブページの固有のコンポーネントとしてブラインドに処理します。
アナリストは、運用可能な全二重遠隔制御パイプラインの存在を検証しました。インプラントは、ナビゲートされたURL、インストールトークン、エクステンション識別子、およびユーザーの地理情報を含む構造化されたテレメトリを、statsdata.onlineの一元化された収集ノードに送信しました。相互的に、サーバーは到着と同時に実行されるJavaScriptペイロードをディスパッチしました。レポートの著者は、このフレームワークが基本的な広告詐欺を超えており、認証情報の収集からアクティブなオンラインバンキングセッションやエンタープライズアクセストークンの傍受に至るまで、任意の攻撃ベクトルを展開する多用性を備えていることを強調しています。
基盤となるインフラは、商用エンタープライズ製品の物流的精度で機能し、インストール追跡メカニズム、行動ユーザーテレメトリ、および専有の継続的統合デプロイメントパイプラインが組み込まれています。新しく設計された悪意あるモジュールm3011.jsは、従来のコードベースの完全なアーキテクチャ書き直しを表しており、Google、Bing、Yahooの最適化された互換性を導入しています。このスクリプトは検索エンジンの結果ページを動的に操作し、正確なタイポグラフィ、カラーパレット、ダークモード変数に至るまで、正当な検索結果のビジュアルデザイン言語を綿密にクローンします。
並行して、トランスポート層メカニクスに焦点が向けられました。lottingem.comという多目的ドメインは、データ流出ゲートウェイとペイロード配布ベクトルとして同時に機能しました。ユーザーのナビゲーション履歴とリクエストヘッダーに関するテレメトリは、アウトバウンドURLリクエストのクエリパラメータ内でクリアテキストで直接送信され、悪意あるJavaScriptはレスポンス本文内にカプセル化されて到着しました。この運用方法により、エンタープライズプロキシがダウンストリームのペイロード応答をブロックしても、アップストリームのデータ流出は既に敵対者に到達していることが保証されます。
インプラントコードブロックの特定の反復は、ホストのGoogle Chromeプロフィールに関連する明示的な名前とメールアドレスを収集するために設計された機能的なサブルーチンを持つことが判明しました。この個人身元データは永続的なブラウザGUIDにリンクされており、オペレーターが特定の個人に関する粒度の高い、縦断的なインテリジェンスドシエを組み立てることを可能にしました。
侵害されたエクステンションのカタログは、スクリーンショット取得、広告ブロックフィルタ、ダークモードエミュレータ、ボリュームブースターなど、多様なユーティリティドメインにわたっています。これらのエクステンションの一部はChrome Web StoreおよびMicrosoft Edge Add-onsリポジトリから直ちに削除されましたが、以前にインストールされたインスタンスは、システム管理者がエンタープライズグループポリシーを通じて手動で駆除を実行するまでアクティブ状態で持続します。
論文の著者は、Phoenix Invictaキャンペーンが積極的に適応していると結論付けています。彼らは、カスタムカーソルカスタマイザーと偽造された「データプライバシー」ユーティリティに特になりすまし、悪意あるエクステンションの新世代の差し迫った展開を強く示唆する、最近登録された休止中のドメインの配列を特定しました。
翻訳元: https://meterpreter.org/phoenix-invicta-extension-malware-strips-csp-headers-to-bypass-manifest-v3/
