セキュリティ研究者が、Microsoft Edge の公式ストア内に悪意ある拡張機能のネットワークを発見しました。これらのアドオンは便利なツールを装い、正規の拡張機能と並んで何年にもわたって動作を続けていました。広告ブロッカー、天気ウィジェット、動画ダウンローダー、PDF ツール、カラーピッカー、AI サービスなどに偽装しながら、実際には認証情報の窃取、ブラウザへのバックドア設置、そして検索における広告・アフィリエイト詐欺を行っていたのです。Microsoft のセキュリティチームは 119 件の拡張機能を削除し、「StegoAd」と名付けられたこの一連の工作について専用のレポートで詳細を公開しました。
異例の規模
このキャンペーンの規模は、ブラウザ拡張機能市場においても異例のものでした。悪意ある拡張機能は 90 を超える開発者アカウントを通じて公開されていましたが、共通のインフラとコードの断片を共有していました。主な隠蔽手法として使われたのがステガノグラフィーです。攻撃者は無害に見えるファイルの中にコマンドや悪意あるコードを埋め込むことで、防御システムに危険な部分を即座に検出されないよう工夫していました。
Edge にとどまらない StegoAd の拡大
StegoAd の活動は Edge だけにとどまりませんでした。Microsoft によると、攻撃者は Chrome と Firefox 向けの拡張機能もリリースしていました。さらに、このグループの活動は少なくとも 2021 年まで遡ることができます。攻撃者は旧来の Manifest V2 標準から新しい Manifest V3 へと移行さえ果たしています。Manifest V3 は、ブラウザ拡張機能のセキュリティ強化を目的の一つとして設計されたものです。
遅延起動がリスクをさらに高める
悪意あるコードの遅延起動は、脅威の危険性をさらに高めました。インストール直後は通常のツールとして振る舞い、宣伝された機能を正常に動作させます。悪意あるコンポーネントが起動するのは、インストールから 3〜5 日後のことです。そのため、レビューシステムが攻撃の第二段階を見逃す可能性があり、その間にユーザーはアドオンに慣れてしまいます。
高度な技術を持つ執拗な攻撃者
Microsoft は StegoAd の実行者について、技術的に高度な能力を持つ攻撃者であると評しています。このグループは回避手法を定期的に洗練させ、拡張機能の管理方法を変化させながら、主要ブラウザメーカーのセキュリティチームの目を欺き続けていました。同社の試算によると、260 万人以上のユーザーがこれらの悪意ある拡張機能をダウンロードしています。ただし、この数字が Edge のみを対象としたものか、すべてのブラウザエコシステムを含むものかはレポートでは明らかにされていません。Chrome や Firefox にも StegoAd が存在していたことを踏まえると、実際の被害規模はさらに大きい可能性があります。
ユーザーが取るべき対策
ユーザーはインストール済みの拡張機能を確認し、不要なものをすべて削除することをお勧めします。特に、古い動画ダウンローダー、広告ブロッカー、インターネット「高速化」ツール、PDF ツール、開発者が明確でない小規模なユーティリティアドオンには注意が必要です。Microsoft のレポートに記載されたリストに一致するものが見つかった場合は、パスワードの変更、重要なサービスのアクティブセッションの終了、そして二要素認証の有効化を行うことを強くお勧めします。
翻訳元: https://meterpreter.org/stegoad-malicious-edge-extensions/
