TokyoBlackHatNews

bleepingcomputer.com 4分で読了

ShadyPanda ブラウザー拡張機能、悪意あるキャンペーンで 430 万件以上インストール

Image

“ShadyPanda” として知られる長期にわたるマルウェア作戦により、一見正当な Chrome および Edge のブラウザー拡張機能が 430 万件以上インストールされ、その後マルウェアへと進化しました。

Koi Security によって発見されたこの作戦は、段階的に展開され、徐々に悪意ある機能が追加されていき、ブラウザー拡張機能を正当なツールからスパイウェアへと変貌させました。

ShadyPanda キャンペーンは、これまでに合計 145 個の悪意ある拡張機能(Chrome 向け 20 個、Edge 向け 125 個)で構成されています。Google はそれらを Web ストアから削除しましたが、Koi によると、Microsoft Edge アドオン プラットフォーム上ではキャンペーンは依然として活動中であり、そのうち 1 つの拡張機能は 300 万件のインストール数が表示されています。

about the backdoor’s functionality.

「これは固定機能のマルウェアではありません。バックドアです。」

Image
RCE 機能
出典: Koi Security

このバックドアは、AES 暗号化を用いて、閲覧 URL、フィンガープリント情報、永続的な識別子を api[.]cleanmasters[.]store に送信して流出させます。

このセットの中で注目すべき拡張機能は、Google Chrome ストア上の Clean Master で、悪意あるものとして検出された時点で 20 万件のインストールがありました。合計すると、同じペイロードを搭載した拡張機能は 30 万件のインストールに達していました。

Image
Clean Master 拡張機能
出典: Koi Security

攻撃の第 4 段階かつ最終段階であり、現在も継続している唯一の段階は、2023 年に ‘Starlab Technology’ によって公開された 5 つの Microsoft Edge 拡張機能に関するものです。それ以来、これらの拡張機能は 400 万件のインストールを蓄積しています。

研究者によると、これらの拡張機能に含まれるスパイウェア コンポーネントは、以下のデータを収集し、中国にある 17 のドメインに送信します。

  • 閲覧履歴
  • 検索クエリおよびキーストローク
  • 座標付きのマウスクリック
  • フィンガープリント データ
  • ローカル/セッション ストレージおよびクッキー
Data stolen from infected devices
感染デバイスから盗まれたデータ
出典: Koi Security

Koi Security は、これらの拡張機能には、アップデートを通じて Clean Master セットで確認されたものと同様のバックドアを配信できるだけの十分な権限もあると指摘しています。ただし、現時点では、これ以上に悪質な活動の兆候は確認されていません。

研究者らは、悪意ある拡張機能について Google と Microsoft に連絡したと BleepingComputer に語りました。Google Play ストアからは後に削除されたものの、執筆時点で BleepingComputer は、同じパブリッシャーによる「WeTab 新标签页」(ユーザー数 300 万)と「Infinity New Tab (Pro)」(ユーザー数 65 万)の拡張機能が、Microsoft Edge アドオン ストア上に依然として存在することを確認しました。

Spyware Edge extension
スパイウェア Edge 拡張機能
出典: Koi Security

ShadyPanda 作戦に関連するすべての拡張機能 ID の完全なリストは、Koi Security のレポート末尾で公開されています。

ユーザーは、これらを直ちに削除し、オンライン上のすべてのアカウントについてパスワードをリセットすることが推奨されています。

BleepingComputer は、Koi Security の調査結果について Google と Microsoft の双方に問い合わせており、回答を受け取り次第、その声明を追記します。また、これらの拡張機能の既知の開発者にも連絡しましたが、メールへの返信は得られていません。

更新 12/3 – Microsoft は、以下の声明で当方の問い合わせに回答しました。

「Edge アドオン ストア上で悪意があると特定されたすべての拡張機能を削除しました。当社ポリシーに違反する事例を把握した場合、禁止コンテンツの削除やパブリッシング契約の終了などを含む、適切な措置を講じます。」 – Microsoft 広報担当者

Microsoft は、以下の推奨事項も共有しました。

  • Edge を最新バージョンに更新し、認識できない、または不要な拡張機能を削除する。
  • edge://extensions で拡張機能の権限を確認し、信頼できるパブリッシャーのものだけを残す。
  • 企業管理者は、拡張機能ポリシーを適用し、インストール済み拡張機能を監査し、必要に応じて許可リスト/ブロックリストを使用する。

翻訳元: https://www.bleepingcomputer.com/news/security/shadypanda-browser-extensions-amass-43m-installs-in-malicious-campaign/

ソース: bleepingcomputer.com
#Chrome拡張機能 #Clean Master拡張機能 #GoogleとMicrosoftの対応 #Koi Security調査 #Microsoft Edge拡張機能 #ShadyPanda #サイバーセキュリティ脅威 #スパイウェアキャンペーン #データ窃取・キーロギング #ブラウザ拡張機能マルウェア

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用