出典:Elen Marlen(Shutterstock経由)
高度なマルウェア作戦により、4.3百万のChromeおよびEdgeブラウザユーザーが感染しました。これは、正規のツールを装った悪意のあるブラウザ拡張機能によって、数年間にわたり武器化されてきました。
このキャンペーンの運営者は、詳細な閲覧履歴、検索クエリ、ユーザー認証情報を収集し、さらにリモートコード実行(RCE)機能を確立して、数十万台のブラウザを制御できるようにしていました。
技術的な高度さだけではない
Koiのセキュリティ研究者は、この作戦の背後にいる脅威アクターをShadyPandaと特定しました。おそらく中国を拠点とするグループで、ブラウザマーケットプレイスのセキュリティの弱点を体系的に悪用し、複数のマルウェアキャンペーンを展開してきました。「ShadyPandaの成功は、単なる技術的な高度さだけではありません」とKoiは今週のレポートで述べています。「それは、7年間にわたり同じ脆弱性を体系的に悪用し続けてきたことです。マーケットプレイスは拡張機能の提出時に審査しますが、承認後に何が起きるかは監視していません。」
Koiの調査により、ShadyPandaが同時に運営しているとみられる2つのアクティブなキャンペーンが明らかになりました。1つ目は、5つの悪意のある拡張機能を含み、その中にはGoogle認証済みの人気ユーティリティ「Clean Master」のバージョンもあり、約30万ユーザーがインストールしています。
Koiによると、これらの拡張機能は何年も正規に動作しており、実際に2018年から稼働しているものもあり、ユーザーの信頼と高評価を獲得していましたが、ShadyPandaが2024年中頃に密かに悪意あるアップデートを行い武器化しました。現在、これらの拡張機能は毎時リモートコードを実行し、任意のJavaScriptをダウンロード・実行してブラウザ全体にアクセスし、ユーザーが訪れる可能性のあるすべてのウェブサイトを監視し、暗号化された閲覧履歴を中国のサーバーに送信しています。
2つ目の作戦はさらに大規模で、同じ発行元による追加の5つの拡張機能が含まれています。これらの拡張機能は合計400万回ダウンロードされており、KoiによればMicrosoft Edgeのマーケットプレイスで依然としてアクティブです。
Edge拡張機能の1つ「WeTab」は生産性向上ツールを装い、世界中で少なくとも300万人のユーザーがいます。ShadyPandaはこの拡張機能を使い、影響を受けたユーザーが訪れる可能性のあるすべてのURL、検索クエリ、マウスクリックのデータを収集し、リアルタイムで攻撃者が管理する中国のシステムに送信しています。
ShadyPandaの長期にわたる作戦の注目すべき点は、ここ数年でいかに体系的に進化してきたかだとKoiは指摘しています。最初のキャンペーンは2023年に開始され、ChromeとEdgeの公式マーケットプレイスで最大145の拡張機能が展開されました。これらのブラウザは、攻撃者のために比較的単純なアフィリエイト詐欺を実行していました。つまり、eBay、Amazon、Booking.comでユーザーが購入した際にトラッキングコードを挿入し、攻撃者が不正にコミッションを得るというものです。高度な手法ではありませんが、この段階で脅威アクターはマーケットプレイスの審査プロセスや、高いインストール数と高評価によって信頼を築くことの重要性について重要な教訓を得たとKoiは述べています。
拡張機能の武器化
ShadyPandaは次の段階でさらに手口を強化し、受動的な収益化からブラウザの完全な乗っ取りへと移行しました。脅威アクターは悪意のある拡張機能に、ウェブ検索のリダイレクト、特定ドメインのクッキーの流出、検索クエリのキー入力ごとの収集などの機能を持たせて武器化しました。拡張機能は、部分的なクエリやタイプミス、修正までも収集し、ユーザーの興味や行動の詳細なプロファイルを構築し、すべてを暗号化されていないHTTP接続で送信していました。「ShadyPandaは学習し、より攻撃的になっていましたが、それでも発覚していました。拡張機能は配布から数週間から数か月で報告・削除されていました」とKoiは述べています。
これに対抗するため、ShadyPandaは数年間正規に動作していた5つのブラウザ拡張機能に目をつけ、うち3つは2018年および2019年から存在していました。すべての拡張機能はChromeマーケットプレイスでGoogleの「おすすめ」および「認証済み」ステータスを獲得し、合計で約30万ユーザーにインストールされていました。2024年中頃、脅威アクターはChromeとEdgeの自動アップデート機構を通じて悪意のあるアップデートを配信し、拡張機能を即座に悪意のあるRCEツールに変えました。これらの拡張機能は、任意のJavaScriptをダウンロードし、完全なブラウザAPIアクセスで実行できるなど、感染システムに永続的なバックドアを作成する能力を持っています。
2023年、ShadyPandaはさらに5つのMicrosoft Edge拡張機能をリリースし、合計で世界中で400万回以上インストールされました。ペイロードは包括的なブラウザ監視を行い、訪問したすべてのURL、全検索クエリ、マウスクリック、ページ操作データを収集します。「ShadyPandaはいつでもアップデートを配信でき、400万台のブラウザを第3段階と同じRCEバックドアフレームワーク、あるいはさらに悪質なもので武器化できます」とKoiは述べています。「インフラは整っています。権限も付与されています。アップデート機構も自動で動作します。」
セキュリティベンダーによると、ShadyPandaが悪意のあるブラウザ拡張機能でこれほど成功した理由は、GoogleもMicrosoftも拡張機能が最初にアップロードされた時点でしか安全性を確認しないためです。「彼らは承認後に何が起きるかを監視していません」とKoiは述べています。
Dark Readingからのコメント要請に対し、Googleの広報担当者は、Koiのレポートにある悪意のあるChrome拡張機能は公式マーケットプレイスでは利用できないと述べました。広報担当者は2024年6月のGoogleブログChrome拡張機能で安全を保つ方法を参照し、同社が悪意のある拡張機能から保護するために講じている対策を強調しました。これには、マーケットプレイスにアップロードされたすべてのブラウザ拡張機能の自動審査と、その後の人による審査が含まれます。「この審査プロセスにより、ほとんどの悪質な拡張機能は公開前に排除されます」とGoogleは当時述べています。「2024年には、Chromeウェブストアからの全インストールのうちマルウェアが含まれていたのは1%未満でした。」
Microsoftの広報担当者は、同社がEdgeアドオンストアで悪意のあると特定されたすべての拡張機能を削除したと述べました。「当社のポリシーに違反する事例を把握した場合、禁止コンテンツの削除や出版契約の終了など、適切な措置を講じます」と彼女はメールで述べました。
また、Microsoftはユーザーに対し、Edgeを最新バージョンにアップデートし、認識できない、または不要な拡張機能を削除することを推奨しています。「ユーザーはedge://extensionsで拡張機能の権限を確認し、信頼できる発行元のみを残すことを推奨します」と彼女は述べました。「企業管理者には、拡張機能のポリシーを強制し、インストール済み拡張機能を監査し、ホワイトリスト/ブラックリストを適切に活用することを推奨します。」
Koi Securityはこの問題についてMicrosoftに通知していないと、彼女は付け加えました。
翻訳元: https://www.darkreading.com/endpoint-security/shadypanda-hackers-weaponize-browsers
