何百万人ものChromeおよびEdgeユーザーが、見た目は安全でGoogleによって認証された拡張機能に騙され、何年もの間隠されたスパイウェアを実行していました。
研究者たちは、ShadyPandaと名付けられた単一の脅威アクターが、ブラウザマーケットプレイスを悪用した数年にわたる作戦を密かに構築し、現在では430万人以上のユーザーに影響を及ぼしている可能性があることを発見しました。
当初は低レベルのアフィリエイト詐欺から始まりましたが、やがて完全なブラウザ乗っ取りが可能な高度なリモートコード実行(RCE)バックドアへと進化しました。
影響を受けたブラウザ拡張機能は「…毎時リモートコード実行を行い、任意のJavaScriptをダウンロードして完全なブラウザアクセス権で実行します」とKoiの研究者は述べています。
ShadyPanda台頭の背後にある多段階キャンペーン
ShadyPandaの作戦は、意図的な段階を経て展開されました。2023年初期のキャンペーンでは、壁紙やシンプルな生産性ツールを装った145の拡張機能が配布されました。
これらは閲覧データを収集し、AmazonやBooking[.]comなどの小売サイトにアフィリエイトコードを挿入していました。
この段階は高度な技術を要しませんでしたが、攻撃者に拡張機能マーケットプレイスの審査方法、ユーザーが信頼のシグナルをどう解釈するか、そして見かけ上無害な拡張機能がどれほど長く検知されずに動作できるかを学ばせました。
2024年初頭の第二波では、より攻撃的になりました。Infinity V+などの拡張機能が検索トラフィックを乗っ取り、既知のブラウザハイジャッカーを経由してクエリをリダイレクトし、クッキーを攻撃者の管理するインフラに流出させました。
拡張機能はリアルタイムでキーストロークを取得し、送信前の部分的なクエリも含めて、ShadyPandaにユーザー行動の詳細な洞察を与えていました。
ここでShadyPandaは戦術を切り替え、長期戦に移行しました。
数百万人を危険にさらしたRCEバックドア
ShadyPandaは短期的な収益化から、より深い侵害へと方向転換しました。
Clean Masterのような拡張機能は、早くも2018年にアップロードされ、何年もかけて正当性を築き上げ、「注目」や「認証」バッジをGoogleから獲得し、数十万件のインストールを集めていました。
攻撃者は信頼を得た後、2024年半ばに悪意のあるアップデートを配信しました。その1回のアップデートで毎時RCEバックドアが導入され、リモートサーバーが任意のJavaScriptをユーザーのブラウザに送信できるようになりました。
このコードはブラウザAPIへの完全なアクセス権で実行され、ShadyPandaは以下のことが可能になりました:
- 訪問したすべてのURLを監視
- タイムスタンプ、リファラーパス、ナビゲーション行動を収集
- 完全なブラウザフィンガープリントを取得
- デバイス間で永続的な識別子を同期
- 暗号化されたデータを攻撃者インフラへ流出
マルウェアには、解析回避のためのアンチ分析チェックやカスタムJavaScriptインタプリタ、サービスワーカーを利用したHTTPSトラフィックの傍受機能も含まれており、認証情報の窃取やコンテンツの注入が可能でした。
拡張機能由来の攻撃に対する対策戦略
ブラウザ拡張機能はデフォルトで高い権限を持って動作できるため、組織はブラウザエコシステムの監視、制御、強化により積極的なアプローチを取る必要があります。
- すべてのインストール済みブラウザ拡張機能を監査し、不要・未審査・高リスクで広範な権限を持つ拡張機能は削除してください。
- 企業用の拡張機能許可リストを徹底し、ブラウザ管理ツールでインストール、アップデート、権限を一元管理してください。
- 侵害の兆候を監視するため、ブラウザログ、サービスワーカーの活動、外部への通信、既知のShadyPandaドメインを調査してください。
- 信頼された拡張機能が密かに悪意あるものに変化するのを防ぐため、自動拡張機能アップデートを制限または段階的に実施してください。
- 侵害されたブラウザプロファイルを再構築またはリセットし、漏洩したすべての認証情報、トークン、セッションクッキーをローテーションしてください。
- 高リスク環境を強化—特に開発者ワークステーション—には、サンドボックス化されたブラウジング、ハードウェアベースの認証、シークレット管理ツールを活用してください。
- 拡張機能のインベントリを追跡し、ユーザーに拡張機能のリスクを教育することで、資産管理やユーザートレーニングにブラウザセキュリティを統合してください。
ブラウザ拡張機能が日常業務の中心的な役割を果たし続ける一方で、攻撃対象領域も拡大しています。これにより、積極的な拡張機能管理が企業リスク低減のために不可欠となっています。
ShadyPandaは7年間、単一のシステム的な弱点を悪用しました:ブラウザ拡張機能マーケットプレイスは提出時にしかコードを精査しません。
承認後、拡張機能は暗黙の信頼を得てしまい、継続的な監視も、行動分析も、静かなアップデートへの監督もほとんどありません。
このギャップは、攻撃者が信頼されたコンポーネントに侵入し、初回審査のはるか後にそれらを武器化するという、より広範なソフトウェアサプライチェーンリスクを反映しています。
このような無制限の信頼は、すべてのコンポーネントをデフォルトで受け入れるのではなく、継続的に検証するゼロトラストアプローチの必要性を強調しています。
翻訳元: https://www.esecurityplanet.com/threats/4-3m-users-exposed-in-shadypandas-long-running-browser-hack/
