Chromeウェブストアの偽著作権警告を悪用したGoogle認証情報窃取キャンペーン

Googleを装った偽の著作権侵害申告を使い、Chrome拡張機能の開発者を狙う新たなフィッシングキャンペーンが確認されています。

この詐欺では、拡張機能がChromeウェブストアから近く削除されるとして、開発者に対してわずか48時間以内の対応を求めます。ただし、実際の目的はポリシーの執行ではなく、認証情報の窃取です。

この攻撃が特に危険なのは、ターゲットの拡張機能に関する公開情報を実際に利用することで、警告を本物らしく見せかけている点です。

ターゲットが拡張機能IDやリンクを入力すると、フィッシングページはChromeウェブストアの公開ページから拡張機能の実際の名前・アイコン・掲載情報を取得します。

その結果、高度にパーソナライズされた偽の削除通知が生成され、開発者が本物と信じ込んでしまうリスクが高くなります。

今回確認されたキャンペーンでは、フィッシングページは dmca-chrome-extensions[.]click というドメインで公開されており、Googleとは一切関係がありません。

それにもかかわらず、サイトはGoogleを模したブランドデザインを採用し、「Chrome Web Store Developer Policy Center」を名乗っています。著作権侵害の申告が提出されたとして、開発者が異議申し立てを完了しなければ拡張機能が削除されると主張します。

最初のステップは単純で、ページが拡張機能IDまたはストアのURLを入力するよう求めます。この要求は一見無害に見えるため、この手口は非常に効果的です。

被害者がIDを送信すると、サイトは一時的にローディングメッセージを表示し、その後、実際の拡張機能の情報を使って偽のケースファイルを作成します。

申告番号、受付日、審査スケジュール、そして完全削除までの残り時間を示すカウントダウンタイマーが表示される場合もあります。

これらの情報はすべて捏造されたものです。攻撃者は拡張機能の公開メタデータを再利用しながら、それ以外の警告内容を作り上げているに過ぎません。

特にカウントダウンタイマーは、被害者に焦りを感じさせ、申告内容を確認する前に行動させるという点で、詐欺の核心的な要素となっています。

次の段階が、実際の認証情報窃取です。ユーザーが「続ける」または「本人確認」ボタンをクリックすると、Googleのログイン画面に見せかけたウィンドウが表示されます。

南京錠のアイコンや accounts.google.com に似たアドレスが表示されることもありますが、これは本物のブラウザのサインインページではなく、フィッシングサイト上に描画された偽のウィンドウに過ぎません。

ログインプロンプトが偽物であることを見分ける簡単な方法の一つは、ブラウザのタブからそのウィンドウを閉じられないことです。ウィンドウをページの外にドラッグしようとしても、ブラウザ内に留まったままになります。

ブラウザを最小化すると、偽のウィンドウも一緒に消えます。そして何より重要なのは、ブラウザのアドレスバーには本物のGoogleサインインアドレスではなく、フィッシングドメインが表示されたままである点です。

このフォームに入力されたユーザー名やパスワードは、すべて攻撃者に直接送信されます。

Malwarebytesの調査によると、Chrome拡張機能の開発者アカウントは、多数のユーザーにリーチできるうえ更新が自動配信される仕組み上、攻撃者にとって価値の高いターゲットとなっています。

攻撃者が開発者アカウントを掌握した場合、既存の拡張機能の改ざん、悪意あるバージョンのアップロード、プロジェクトリソースへのアクセス、さらにはそのアカウントへの信頼を悪用した有害コードの広範な拡散といった行為が可能になります。

こうした背景から、このキャンペーンは通常のログイン情報フィッシングよりも深刻です。開発者アカウントが侵害されると、サプライチェーンリスクへと発展し、開発者本人だけでなく拡張機能のユーザーにまで被害が及ぶ可能性があります。

開発者は一つの重要なルールを覚えておく必要があります。Chromeウェブストアによる本物の執行通知は、無作為なリンクから誘導される第三者サイトではなく、公式の開発者ダッシュボードに届きます。

緊急削除を主張するメッセージを受け取った場合は、信頼できるブラウザセッションで直接ダッシュボードを開いて確認するようにしてください。

注意: IPアドレスおよびドメインは、意図せぬ名前解決やハイパーリンクの生成を防ぐため、意図的に無害化されています(例:[.])。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻してご使用ください。

翻訳元: https://cyberpress.org/fake-copyright-alerts-steal-credentials/

ソース: cyberpress.org