TokyoBlackHatNews

csoonline.com 5分で読了

新たな悪質なブラウザー拡張機能が発見される

セキュリティ研究者が、Google ChromeとMicrosoft Edgeのユーザーを標的とした大規模なマルウェアキャンペーンを明らかにしました。

Image
サイバー攻撃者はChromeおよびEdgeのアドオンを利用してデータ収集、検索操作、バックドアとして悪用しています。

Ascannio – shutterstock.com

セキュリティベンダーKoiの研究者は、「ShadyPanda」と呼ばれるサイバー犯罪グループが信頼されているブラウザー拡張機能を攻撃に悪用していたことを突き止めました。攻撃者の目的は、ブラウジングデータの収集、検索結果や通信の操作、バックドアのインストールでした。

調査報告によると、合計430万件のブラウザーインスタンスが感染しました。「これらのブラウザーのいずれかが業務用リソースへのアクセスに使用されているデバイスに存在する場合、企業にとって大きなリスクとなります」とセキュリティ専門家は警告しています。

「感染した開発者用ワークステーションはリポジトリの侵害やAPIキーの窃取を意味します」と、セキュリティ研究者のTuval AdmoniはKoi Security Blogの記事で説明しています。「SaaSプラットフォーム、クラウドコンソール、社内ツールへのブラウザーベースの認証により、ShadyPandaはあらゆるログインを把握できます。」

これらの悪質なブラウザー拡張機能はすでに配布されていないものの、感染したPCを持つ企業は依然として危険にさらされています。「拡張機能が最近マーケットプレイスから削除されたとしても、すべての感染したブラウザー上で大規模な攻撃のためのインフラは依然として存在しています」とAdmoni氏は述べています。

数年にわたる動機の変化を伴うキャンペーン

Koiの分析によると、ShadyPandaは2017年までさかのぼる複数世代のブラウザー拡張機能インフラを数年間維持していました。このグループは数十種類の拡張機能を利用し、そのうち20件がChromeウェブストアで公開され、125件がEdge向けに配布されていました。

最初期の拡張機能はアフィリエイト詐欺を目的とし、被害者のオンライン購入に対して隠れた手数料を抜き取っていました。その後、検索結果の操作に重点が移り、最終的にはユーザー行動の高度な追跡、セッションデータの収集、ブラウザーフィンガープリントの監視、リモートコード実行(RCE)を可能にするバックドアのインストールが行われました。

Koiによると、ShadyPandaは長期的な戦略を取り、人気ユーティリティ「Clean Master」などの拡張機能(インストール数20万件)を最初は完全に正当なツールとして配布していました。これにより、犯罪者はユーザーから高評価を得たり、場合によってはChromeウェブストアやMicrosoft Edgeアドオンストアで「Featured」や「Verified」といった信頼のバッジを獲得していました。

提出後の審査なし

この長期的な正当性により大規模なユーザーベースが築かれ、企業内でもこれらの拡張機能の利用が一般化していた可能性があります。企業ではブラウザーアドオンがほとんど審査されずに許可されることが多いためです。ShadyPandaは信頼を築き、数百万件のインストールを達成した後、静かに悪質なアップデートを配信しました。

攻撃者はまず隠されたインストール追跡ルーチンを組み込み、ユーザー行動を把握しリーチを最適化した後、悪質なアップデートによってこれを攻撃手段として利用しました。

ChromeやEdgeのアップデートは自動で行われ、既存の権限についてユーザーの再承認を必要としないため、攻撃は気付かれずに進行しました。

「ShadyPandaの成功は、7年間にわたり同じ脆弱性を体系的に悪用し続けたことにあります。マーケットプレイスは拡張機能を提出時にしか審査しません」とAdmoni氏は述べています。「承認後に何が起きているかは監視されていません。」

回避とMan-in-the-Browser手法

ShadyPandaは偽装にも力を入れていました。Koiは、開発者ツールを開くと悪質なロジックが即座に無害な動作に切り替わることを発見し、手動での解析を困難にしていました。

さらに研究者は、一部の悪質な拡張機能が公開時点でまだEdgeアドオンストアで入手可能であることを確認しました。Clean Masterの発行元であるStarlab Technologyは2023年にMicrosoft Edge向けにさらに5つの拡張機能をリリースし、合計400万件以上のインストールを記録しました。「5つの拡張機能はすべてMicrosoft Edge Marketplaceで引き続き利用可能であり、そのうち2つは本格的なスパイウェアです」とAdmoni氏は強調しています。

Googleは最近、Clean MasterをChromeウェブストアから削除しました。Googleの広報担当者によると、現在Chromeウェブストアではこれらの拡張機能はすべて利用できなくなっています。

Man-in-the-Middle攻撃(MitM)と同様に、ShadyPandaはユーザーと訪問先ウェブサイトの間に効果的に位置し、読み込まれたページにトラッキングロジックを挿入していました。これにより攻撃者はブラウザーを通じて通信を監視・操作し、感染ユーザーのインターネット利用状況を継続的に把握できました。

Admoni氏は、拡張機能を削除しても攻撃者はすでにCookie、ブラウジングパターン、セッショントークン、フィンガープリントデータなどの貴重な情報を収集済みである可能性が高いため、あまり効果がないと指摘しています。(jm)

翻訳元: https://www.csoonline.com/article/4100071/neue-bosartige-browser-erweiterungen-entdeckt.html

ソース: csoonline.com
#2025年サイバー攻撃 #AIによるマルウェア生成 #Androidスパイウェア #CRMデータ漏洩 #Google Chrome #Microsoft Edge #ShadyPanda #セキュリティ脅威 #企業セキュリティ #偽ブラウザー拡張機能

関連記事

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く

トランプ大統領、撤回したAI大統領令の一部をサイバーセキュリティ重視の指令として復活