7年にわたるブラウザ拡張機能キャンペーンにより、ChromeおよびEdgeのユーザー430万人が感染した。
ShadyPandaとして追跡されているこの犯行グループは、信頼されたブラウザのマーケットプレイスを悪用してユーザーベースを構築し、何年にもわたり正規に運用した後、ひそかに悪意ある更新を配信する手口が確認されている。
新たなKoi Security レポートでは、Clean Masterを含む5つの拡張機能において、30万人のユーザーに影響するリモートコード実行のバックドアが特定された。
これらの拡張機能は2018年以降通常どおり動作していたが、2024年半ばの更新により、任意のJavaScriptを毎時ダウンロードできるようになった。マルウェアはWebサイトの訪問を記録し、暗号化された閲覧履歴を流出させ、完全なブラウザフィンガープリントを収集した。
一方で、並行して行われたスパイウェアの作戦は、さらに5つのMicrosoft Edge拡張機能を通じて400万人超のユーザーに到達した。中でもWeTabは単独で300万インストールを占め、最も顕著だった。
これらの拡張機能は、訪問したすべてのURL、検索語句、マウスクリック、そして各種ブラウザ識別子を収集し、通信は中国のサーバーへルーティングされていた。
Koi Securityが調査結果を公表した後、Microsoftの広報担当者はInfosecurity, に対し、「Edgeアドオンストアで悪意があると特定された拡張機能はすべて削除しました。当社のポリシーに違反する事例を把握した場合、禁止コンテンツの削除や公開契約の終了を含む(ただしこれらに限定されない)適切な措置を講じます」と述べた。
起源と長期化の戦略
ShadyPandaの最初期の活動は2023年にさかのぼり、脅威アクターは壁紙や生産性ツールを装った145のブラウザ拡張機能を公開した。
これらのアドオンは複数のショッピングサイトでアフィリエイトコードを挿入し、Google Analyticsを用いてユーザー行動をプロファイリングしていた。Koiの研究者は、このキャンペーンからShadyPandaが後に悪用することになる3つの教訓が明らかになったと述べている。
-
承認後の監視が限定的であること
-
インストール数が多い拡張機能への高い信頼
-
長期的に正規として振る舞うことで得られる優位性
ブラウザ拡張機能のセキュリティについて詳しく読む:研究者が日常的なツールを装った18の悪意あるChromeおよびEdge拡張機能を公開
2024年初頭までに、同グループは攻撃的なブラウザ操作へと舵を切った。拡張機能の1つであるInfinity V+は、既知のハイジャッカーを介して検索をリダイレクトし、Cookieを収集し、キーストロークを外部サーバーへ送信していた。
これらの拡張機能の多くは数週間以内に削除されたものの、ShadyPandaは攻撃戦略の開発を継続した。
Koiの研究者は、ShadyPandaが長期間活動できた理由を、拡張機能の審査プロセスにおける一貫した欠陥にあるとしている。
「ShadyPandaは、マーケットプレイスが7年前と同じ方法で拡張機能を審査していることを示した。提出時の静的解析、承認後の信頼、継続的な監視なし。Clean Masterは5年間正規に動作していた。静的解析ではこれを検知できない」
同様の脅威に備えるため、個人には、インストール済みのブラウザ拡張機能を定期的に監査し、使わなくなったツールを削除し、更新履歴が透明な開発者を優先することが推奨されている。
翻訳元: https://www.infosecurity-magazine.com/news/shadypanda-infects-43m-chrome-edge/
