偽のGoogleオーガニック検索トラフィックを生成していたことが研究者によって発覚し、152件の悪意あるGoogle Chrome拡張機能による大規模な組織的ネットワークが摘発されました。
SocketのThreat Research Teamがこの活動を発見しました。その規模は38のChrome Web Storeパブリッシャーアカウントにまたがり、tabplugins[.]com、yowgames[.]com、chromewallpaper[.]comという3つの主要ブランドバックエンドに行き着くことが判明しています。
無害な「ライブ壁紙」の新規タブ拡張機能を装い、この悪意あるクラスターは疑いを持たないユーザーから約105,000件のインストールを獲得しました。Chrome Web Storeの各掲載ページには「ユーザーデータは収集しない」と明記されているにもかかわらず、これらの拡張機能はバックグラウンドで積極的にテレメトリを収集しています。
Chrome拡張機能によるGoogle検索の操作
Socketによると、運営者の外部プライバシーポリシーはストア掲載情報と矛盾しており、IPアドレス、ISP(インターネットサービスプロバイダー)データ、クリック数、リファラーデータの記録を認めています。
収集されたテレメトリはGoogle AdSense、DoubleClick、そして名前を明かされていないサードパーティの広告パートナーと公然と共有されており、これは開発者ポリシーの重大な違反に当たり、アカウントの永久停止につながる可能性があります。
このネットワークで最も巧妙な悪用が確認されたのは、TabPluginsブランドテンプレートを使用した54件の拡張機能です。悪意ある動作は、インストールおよびアンインストールイベント時にハードコードされたURLを実行する、拡張機能のサービスワーカー(js/bg.js)に起因しています。
インストール時、拡張機能は utm_source=google&utm_medium=organic パラメータを付加したtabplugins[.]comのランディングページを新しいタブで強制的に開きます。このメカニズムにより、自動化されたソフトウェアによるアクセスが、正規ユーザーによるGoogleオーガニック検索経由の訪問としてアナリティクスプラットフォームに誤認されます。
アンインストール時には、アトリビューションシステムを欺くためのさらに巧妙なクローキングメカニズムが発動します。拡張機能の setUninstallURL 関数は、Googleの署名済み ved トークンおよび usg リダイレクトトークンを正確に再現した google.com/url ラッパーを送信します。
この送信pingは、正規のGoogle検索結果ページ(SERP)のリンクを人間がクリックしたかのように偽装します。
ソフトウェアが生成したpingを高品質なオーガニック需要シグナルに「ロンダリング」することで、運営者は自社のアナリティクス、提携する広告計測プラットフォーム、そしてGoogle自体のアトリビューションデータを実質的に汚染しています。
テイクダウンへの耐性と回避策は、このマルウェアキャンペーンの中核的な運用要素です。分析されたすべての拡張機能には、bg.js に埋め込まれた同一のアンチフォレンジックルーティンが含まれており、サービスワーカーの起動時にすべてのIndexedDBデータベースに対して deleteDatabase() ループを実行します。
Socketによると、現在のバージョンでは状態データを localStorage に保存しているため、この特定のワイプ処理は拡張機能自体にとって機能的には無意味です。しかし、141件の拡張機能に同一のコードが存在することは、極めて信頼性の高い行動的フィンガープリントとなっています。
単一のテイクダウン報告がネットワーク全体の障害を引き起こすことを防ぐため、脅威アクターは同一のテンプレートを38の独立したパブリッシャーアカウントに分散させています。バックエンドインフラも、別々のCloudflareアカウントとホスティングプロバイダーに分割されています。
この運用構造から、Google Ad ManagerおよびAppNexusに接続されたPrebidのリアルタイムヘッダービディングスタックを通じて、広告収益化されたブランドページへの強制トラフィックを誘導する、複数の組織的チームの関与が示唆されます。
侵害の痕跡(IOC)
| IOCタイプ | 値 | 重要な理由 |
|---|---|---|
| ドメイン | tabplugins[.]com | 主要ブランドバックエンド。偽のGoogleアトリビューションおよび広告ファネルトラフィックの発生源。 |
| ドメイン | yowgames[.]com | 第2のブランドバックエンド。19件の拡張機能が未開示のテレメトリをルーティング。 |
| ドメイン | chromewallpaper[.]com | 第3のブランドバックエンド。owhit[.]comへのHTTP 301リダイレクター。 |
| ドメイン | owhit[.]com | 最終リダイレクト先。AdSenseで収益化されたランディングページ。 |
| IPアドレス | 147[.]79[.]120[.]202 | HostingerにホストされたtabPlugins[.]comのオリジンサーバー。C2への直接接触ポイント。 |
| IPアドレス | 92[.]112[.]198[.]22 | Hostinger上のtabplugins[.]comの第2オリジンサーバー。 |
| URLパターン | utm_source=google&utm_medium=organic |
インストールpingに含まれる偽のオーガニックアトリビューション。ネットワークログの主要検出シグナル。 |
| URLパターン | google.com/url?sa=t&source=web&...ved=...&usg=... |
tabplugins[.]comへの偽装アンインストールリダイレクト。実際のGoogle SERPクリックに見せかけたもの。 |
| コンソール文字列 | Deleted IndexedDB database: |
分析されたすべての拡張機能に存在するファミリー全体のフィンガープリント。拡張機能サービスワーカーにおける最も信頼性の高いハンティングシグナル。 |
| スクリプトパターン | indexedDB.databases().then(dbs => { dbs.forEach(db => { indexedDB.deleteDatabase(db.name) }) }) |
bg.js 内のアンチフォレンジックワイプループ。EDRおよび拡張機能セキュリティツールにおける決定的な行動IOC。 |
注意: IPアドレスとドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])が施されています。MISP、VirusTotal、SIEMなどの管理されたスレットインテリジェンスプラットフォーム内でのみ、元の形式に戻してご使用ください。
エンドユーザーは、特定された悪意あるドメインに由来する壁紙系の新規タブ拡張機能を直ちに削除し、デフォルトの検索エンジン設定を手動で確認することをお勧めします。
セキュリティオペレーションチームは、容易にローテーション可能な拡張機能IDへの依存を避け、上述の行動的フィンガープリントを積極的にハンティングしてください。主要なエンドポイント検出シグナルには、IndexedDBの列挙・削除ループ、Google URLラッパーを指す setUninstallURL 関数、そしてオーガニックパラメータを含む強制タブを開始する onInstalled ハンドラーが含まれます。
翻訳元: https://gbhackers.com/malicious-152-chrome-extensions-google-search/
