研究者たちは、まさに長期戦を仕掛けたマルウェアキャンペーンを解明しました。約430万台のChromeおよびEdgeユーザーのデバイスにインストールされた一連のブラウザー拡張機能が、7年間は正常に動作していたものの、突如として悪質な動作を始めました。現在、これらはあなたの閲覧履歴を追跡し、ブラウザー内で悪意のあるコードを実行できるようになっています。
研究者たちは、数年間は問題なく動作していた5つの拡張機能が、2024年半ばに悪用され始めたことを突き止めました。開発者は信頼を獲得し、数百万件のインストール数を築き上げ、ChromeやEdgeストアで「注目」や「認証済み」ステータスまで獲得していました。その後、これらのアドオンをスパイウェアやマルウェアに変えるサイレントアップデートを配信しました。
これらの拡張機能はリモートコード実行フレームワークへと変貌しました。ブラウザー内で悪意のあるJavaScriptをダウンロード・実行し、訪問したサイトやユーザーのブラウザーに関する情報を収集して、中国に拠点を置くと考えられる攻撃者に送信していました。
これらの拡張機能の中で最も広く使われていたのはWeTabで、Edgeだけで約300万件のインストールがあります。これは、訪問したURLや検索クエリ、その他のデータをリアルタイムでストリーミングするスパイウェアとして機能します。研究者によると、Googleはすでにこれらの拡張機能を削除しましたが、Edgeストア版はまだ入手可能です。
長期戦を仕掛けることは、サイバー犯罪者が通常は時間や忍耐力を持ち合わせていないものです。
研究者たちは、このキャンペーンをShadyPandaグループの仕業としています。同グループは少なくとも2018年から活動しており、2023年に最初のキャンペーンを開始しました。それは、アフィリエイト詐欺という単純なもので、ユーザーのショッピングクリックにアフィリエイトトラッキングコードを挿入するものでした。
このグループがそのキャンペーンから学んだのは、既存の拡張機能に悪意のあるアップデートを配信してもバレないということでした。Googleは新しい拡張機能は厳しく審査しますが、アップデートには同じ注意が払われません。
このような手口は初めてではありませんが、何年も待つというのは非常に異例です。拡張機能がウェブストアでしばらく提供されていると、サイバー犯罪者はアップデートを通じて悪意のあるコードを挿入できます。一部の研究者は、このような正常な拡張機能を「スリーパーエージェント」と呼び、何年も静かに潜伏した後、悪質な動作に切り替わるとしています。
この新たなキャンペーンははるかに危険です。感染したすべてのブラウザーがリモートコード実行フレームワークを実行します。毎時、api.extensionplay[.]comに新しい指示を確認し、任意のJavaScriptをダウンロードして、ブラウザーAPIへの完全なアクセス権で実行します。
悪質な拡張機能を手動で見つける方法
Koiの研究者たちは、このキャンペーンに関連するChromeおよびEdge拡張機能IDの長いリストを共有しています。自分のブラウザーにこれらの拡張機能があるかどうかを確認できます:
Chromeの場合
- Google Chromeを開きます。
- 上部のアドレスバーにchrome://extensions/と入力し、Enterキーを押します。これで拡張機能ページが開き、インストールされているすべての拡張機能が表示されます。
- このページの右上でデベロッパーモードをオンにします。
- これで各拡張機能カードにIDの行が追加表示されます。
- Ctrl+F(Macの場合はCmd+F)を押して検索ボックスを開き、調べたいID(例:
eagiakjmjnblliacokhcalebgnhellfi)を検索ボックスに貼り付けます。
ページが拡張機能までスクロールしてIDがハイライトされれば、その拡張機能はインストールされています。No results found(結果が見つかりません)と表示されれば、そのChromeプロファイルにはありません。
そのIDが拡張機能の下に表示されていれば、そのアドオンが現在のChromeプロファイルにインストールされていることを意味します。
削除するには、同じページでその拡張機能カードの削除をクリックしてください。
Edgeの場合
EdgeもChromiumブラウザーなので手順は同じですが、edge://extensions/にアクセスしてください。
