かつて信頼されていたChromeおよびEdgeのアドオンが、静かにデータ収集、検索操作、リモート実行バックドアのツールへと変貌し、430万人以上のユーザーに影響を与えています。
Google ChromeとMicrosoft Edgeユーザーを標的とした広範な監視キャンペーンは、悪意のあるブラウザ拡張機能を配布する7年にわたるプロジェクトの最新の進化形です。
信頼されたブラウザ拡張機能を標的とし、初期の審査を通過して広く普及した後、時には数年かけて武器化することで、Koiが「ShadyPanda」と名付けたグループは、4.3百万のブラウザインスタンスに感染し、閲覧データの収集、検索結果の乗っ取り、トラフィックの操作、リモートコード実行が可能なバックドアの展開を行ってきました。
Koiは、これらのブラウザが業務用PCや、従業員が業務リソースにアクセスするために使用する個人デバイス上に存在する場合、企業にとって重大なリスクになると警告しています。
「開発者の作業端末が感染すれば、リポジトリが侵害され、APIキーが盗まれることになります」と、セキュリティ研究者のTuval AdmoniはKoi Securityブログの投稿で述べています。「SaaSプラットフォーム、クラウドコンソール、社内ツールへのブラウザベースの認証は、すべてのログインがShadyPandaに見られていることを意味します。」
悪意のある拡張機能はすでに配布されていませんが、感染した端末を持つ組織は依然としてリスクにさらされています。「拡張機能が最近マーケットプレイスから削除されたにもかかわらず、大規模攻撃のためのインフラはすべての感染ブラウザ上に展開されたままです」とAdmoniは述べています。
動機が変化し続ける複数年にわたるキャンペーン
Koiの分析によると、ShadyPandaは2017年にさかのぼる複数世代にわたるブラウザ拡張機能のインフラを維持してきました。このグループは数十の拡張機能を使い回し、Chromeウェブストアには20件、Edgeには125件を配布していました。
初期の拡張機能はアフィリエイト詐欺に焦点を当て、被害者のオンライン購入に対して隠れたコミッションを取得していましたが、後に検索結果の操作へとシフトしました。最近では、巧妙な行動追跡、セッションデータの収集、ブラウザフィンガープリント監視(400万人に影響)、リモートコード実行(RCE)をサポートするバックドア(30万人に影響)などが含まれています。
ShadyPandaは長期戦を展開し、人気のClean Masterユーティリティ(20万インストール)など、完全に正当なツールとして配布し、ユーザーから高評価を得ていました。場合によっては、ChromeウェブストアやMicrosoft Edgeアドオンストアで「注目」や「認証済み」バッジなどの信頼シグナルも獲得していました。
提出後の審査なし
この長期的な正当性が大規模なユーザーベースを築き、企業内でもこれらの拡張機能が当たり前のように使われることを助長した可能性があります。ブラウザアドオンは企業内でほとんど精査されずに通過することが多いのです。信頼を積み重ね、数百万のインストールを獲得した後、ShadyPandaは静かに悪意のあるアップデートを配信しました。ユーザーの行動をマッピングし、リーチを最適化する隠れたインストール追跡ルーチンを埋め込み、悪意のあるアップデートで武器化しました。
ChromeやEdgeのアップデートは自動で行われ、既存の権限についてユーザーの再承認を必要としないため、悪用は静かに進行しました。
「ShadyPandaの成功は、7年間同じ脆弱性を体系的に悪用し続けたことにあります。つまり、マーケットプレイスは提出時に拡張機能を審査しますが、承認後に何が起きているかは監視していません」とAdmoniは述べています。
回避とマン・イン・ザ・ブラウザの手口
ShadyPandaは隠れるためにも投資していました。Koiは、開発者ツールが開かれると悪意のあるロジックが即座に無害な動作に切り替わり、手動での解析を困難にしていたことを発見しました。難読化や制御された有効化も悪意のあるコンポーネントをさらに隠し、ステルス性を確保していました。
Koiは、これらの拡張機能の一部が公開時点でEdgeアドオンストアでまだ稼働していたことを指摘しました。Clean Masterの発行元であるStarlab Technologyは、2023年ごろにMicrosoft Edgeでさらに5つの拡張機能をリリースし、合計400万以上のインストールを獲得しました。「5つの拡張機能はすべてMicrosoft Edgeマーケットプレイスでまだ稼働中です」とAdmoniは述べ、そのうち2つは包括的なスパイウェアであると付け加えました。
Googleは最近Clean MasterをChromeウェブストアから削除し、現在Chromeウェブストアではいずれの拡張機能も利用できないとGoogleの広報担当者は述べています。MicrosoftはCSOのコメント要請にすぐには応じませんでした。
マン・イン・ザ・ミドル(MitM)型攻撃のように、ShadyPandaはユーザーとアクセス先ウェブサイトの間に効果的に位置し、読み込まれたページに追跡ロジックを挿入していました。これにより攻撃者は、ブラウザを通じてトラフィックを観察・操作し、感染ユーザーがウェブとどのようにやりとりしているかを継続的に把握できました。
Admoniは、拡張機能を削除しても、攻撃者はすでにクッキー、閲覧パターン、セッショントークン、フィンガープリントデータなどの高価値データを収集済みである可能性が高く、効果がないかもしれないと指摘しました。
Koiはブログ記事で、悪意のあるChromeおよびEdge拡張機能のリストと、検出支援のためのC2およびデータ流出ドメインを公開しました。
