偽のGoogleオーガニック検索トラフィックを生成していたことが研究者によって発覚し、悪意ある152個のGoogle Chromeブラウザ拡張機能による大規模な組織的ネットワークが摘発されました。
SocketのThreat Research Teamがこの活動を発見しました。38の独立したChrome Web Storeパブリッシャーアカウントにまたがり、tabplugins[.]com、yowgames[.]com、chromewallpaper[.]comという3つの主要ブランドバックエンドに行き着くことが確認されています。
無害な「ライブ壁紙」の新しいタブ拡張機能を装いながら、この悪意あるクラスターは疑いを持たないユーザーから約105,000件のインストールを積み上げました。Chrome Web Storeの全掲載ページでユーザーデータを収集しないと明示しているにもかかわらず、これらの拡張機能はバックグラウンドで積極的にテレメトリーを収集しています。
Chrome拡張機能によるGoogle検索操作
Socketによると、運営者の外部プライバシーポリシーはストアの掲載内容と矛盾しており、IPアドレス、インターネットサービスプロバイダー(ISP)データ、クリック数、リファラーデータのログ収集を認めているといいます。
収集されたテレメトリーはGoogle AdSense、DoubleClick、および名前の伏せられた第三者広告パートナーと公然と共有されており、デベロッパーポリシーの重大な違反に当たり、アカウントの永久停止につながる可能性があります。
このネットワークで最も巧妙な悪用は、TabPluginsブランドテンプレートを使用する54個の拡張機能に集中しています。悪意ある動作は拡張機能のサービスワーカー(js/bg.js)内に起点を持ち、インストールおよびアンインストールのイベント時にハードコードされたURLを実行します。
インストール時、拡張機能はtabplugins[.]comのランディングページに utm_source=google&utm_medium=organic パラメーターを付加した新しいタブを強制的に開かせます。この仕組みにより、アナリティクスプラットフォームは自動的なソフトウェアのアクセスを、Googleオーガニック検索経由で来た正規ユーザーのアクセスとして登録してしまいます。
アンインストールはさらに巧妙なクローキング機構を起動させます。これはアトリビューションシステムを欺くために構築されたものです。拡張機能の setUninstallURL 関数が google.com/url ラッパーを発動させ、Googleの署名済み ved および usg リダイレクトトークンを巧みに再現します。
この送信pingは、人間が正規のGoogle検索結果ページ(SERP)のリンクをクリックしたかのように偽装されています。
ソフトウェアが生成したpingを高品質なオーガニック需要シグナルに見せかけることで、運営者は自社のアナリティクス、提携する広告計測プラットフォーム、そしてGoogle自身のアトリビューションデータを実質的に汚染しています。
テイクダウン耐性と回避は、この悪意あるキャンペーンの中核的な運用要素です。分析されたすべての拡張機能には、サービスワーカーの起動時にすべてのIndexedDBデータベースにわたって deleteDatabase() ループを開始する、bg.jsに組み込まれた同一のアンチフォレンジックルーチンが含まれています。
Socketによると、現在のバージョンでは状態データを localStorage に保存しているため、この特定のワイプは拡張機能自体にとって実質的に無意味ですが、141個の拡張機能にまたがってそのままの形で存在していることが、非常に信頼性の高い行動的フィンガープリントとして機能するといいます。
一件のテイクダウン報告によってネットワーク全体が機能不全に陥るのを防ぐため、脅威アクターは同一のテンプレートを38の独立したパブリッシャーアカウントに分散させました。バックエンドインフラはさらに個別のCloudflareアカウントとホスティングプロバイダーに分割されています。
この運用構造は、Google Ad ManagerおよびAppNexusに接続されたライブのPrebidヘッダービディングスタックを通じて、広告で収益化されたブランドページへ強制的にトラフィックを誘導する、複数の連携したチームが関与していることを示唆しています。
侵害の痕跡(IOC)
| IOCタイプ | 値 | 重要性 |
|---|---|---|
| ドメイン | tabplugins[.]com | 主要ブランドバックエンド。Googleアトリビューション偽造と広告ファネルトラフィックの発生源。 |
| ドメイン | yowgames[.]com | 第2のブランドバックエンド。19個の拡張機能が非開示のテレメトリーを転送。 |
| ドメイン | chromewallpaper[.]com | 第3のブランドバックエンド。owhit[.]comへのHTTP 301リダイレクター。 |
| ドメイン | owhit[.]com | 最終リダイレクト先。AdSenseで収益化されたランディングページ。 |
| IPアドレス | 147[.]79[.]120[.]202 | HostingerにあるtabPlugins[.]comのオリジンサーバー。直接のC2接触ポイント。 |
| IPアドレス | 92[.]112[.]198[.]22 | Hostingerにあるtabplugins[.]comの第2オリジンサーバー。 |
| URLパターン | utm_source=google&utm_medium=organic |
インストールpingにおける偽造オーガニックアトリビューション。ネットワークログにおける主要な検知シグナル。 |
| URLパターン | google.com/url?sa=t&source=web&...ved=...&usg=... |
tabplugins[.]comへのクロークされたアンインストールリダイレクト。実際のGoogle SERPクリックに偽装。 |
| コンソール文字列 | Deleted IndexedDB database: |
分析された拡張機能の100%に存在するファミリー全体のフィンガープリント。拡張機能のサービスワーカーにおける最も信頼性の高いハンティングシグナル。 |
| スクリプトパターン | indexedDB.databases().then(dbs => { dbs.forEach(db => { indexedDB.deleteDatabase(db.name) }) }) |
bg.js内のアンチフォレンジックワイプループ。EDRおよび拡張機能セキュリティツールにとって決定的な行動的IOC。 |
注意: IPアドレスとドメインは、誤った名前解決やリンクを防ぐため、意図的にデファングされています(例:[.])。MISP、VirusTotal、SIEMなど管理された脅威インテリジェンスプラットフォーム内でのみリファングしてください。
エンドユーザーは、特定された悪意あるドメインに由来する新しいタブの壁紙拡張機能を直ちに削除し、デフォルトの検索エンジン設定を手動で確認する必要があります。
セキュリティオペレーションチームは、簡単にローテーションできる拡張機能IDへの依存を避け、上記で概説した行動的フィンガープリントを積極的にハンティングすることが求められます。主要なエンドポイント検知シグナルとしては、IndexedDBの列挙・削除ループ、Google URLラッパーを指す setUninstallURL 関数、オーガニックパラメーターを持つ強制タブを起動する onInstalled ハンドラーが挙げられます。
翻訳元: https://gbhackers.com/152-chrome-extensions-spoofing-google-search/
