サイバー犯罪者が大規模な新たなアドウェアキャンペーンを展開し、約3万人のユーザーへの感染に成功しました。
攻撃者たちは公式のGoogle Chrome ウェブストアを悪用し、50本以上の悪質なブラウザ拡張機能を配布しています。
疑いを持たないユーザーをだますため、攻撃者はこれらの悪質なツールを魅力的なライブ壁紙アプリとして巧みに偽装しました。
ユーザーが拡張機能をインストールすると、ブラウザセッションを乗っ取り、不審な広告を挿入し、ウェブ上のユーザー行動を追跡するという一連の不正な動作が開始されます。
この大規模なキャンペーンは、公式の拡張機能リポジトリを巧妙な悪用手法から守ることの難しさを改めて浮き彫りにしています。
アドウェアは今や単なる軽微な迷惑行為にとどまらず、乗っ取ったウェブトラフィックや盗んだ閲覧データを換金するサイバー犯罪者にとって高収益なビジネスとなっています。
複数のファイルとアカウントにリスクを分散させることで、攻撃者はセキュリティ研究者によって一部の拡張機能が発見・削除されても、キャンペーン全体を維持できる体制を整えています。
攻撃者は3つのパブリッシャーアカウントに悪質な拡張機能を戦略的に分散配置しました。この分散型のアプローチにより、単一障害点を回避しています。
Googleのセキュリティチームが検知して一つのアカウントを停止しても、残りの二つは停止なく活動を継続できる仕組みです。
偽ライブ壁紙の中核となる悪意ある機能は、初回ダウンロード完了後にリモートコードを取得することに大きく依存しています。
被害者がブラウザに拡張機能を追加すると、すぐに外部のコマンド&コントロールサーバーへの接続が確立されます。
攻撃者は40本以上の拡張機能に対し、積極的にリモートHTMLペイロードを送り込んでいます。
悪意あるコードを初回インストールパッケージに含めず外部ソースから動的に読み込む手法により、開発者はChrome ウェブストアの審査プロセスで行われる静的なセキュリティチェックを巧みに回避しています。
このキャンペーンで特に注目すべき技術的な特徴として、ブラウザのローカルストレージを意図的に操作する点が挙げられます。
これらの拡張機能は、初回インストール時およびその後のブラウザ起動のたびにIndexedDBデータベースを消去するよう明示的にプログラムされています。
高度なブラウザベースのアドウェアに対処するには、個人ユーザーと企業のセキュリティチームの双方が迅速に行動する必要があります。
リモートHTMLの実行機能により、これらの拡張機能は将来的にさらに深刻なマルウェアペイロードを配信するよう更新される可能性があり、単なる迷惑行為から重大なセキュリティリスクへとエスカレートしかねないと、Unit42は指摘しています。
今後、ユーザーはブラウザ拡張機能をダウンロードする際に細心の注意を払う必要があります。
開発者のレビューを必ず確認し、パブリッシャーの実績を検証するとともに、壁紙のような単純な外観カスタマイズ用の拡張機能がウェブサイトのデータ読み取りや変更に関する広範な権限を要求する理由について疑問を持つことが大切です。
翻訳元: https://cyberpress.org/fake-wallpaper-extensions-hit-users/
