Koi Securityの報告によると、ある脅威アクターが100を超える悪意ある拡張機能を公開し、ChromeおよびMicrosoft Edgeユーザーを追跡・プロファイリングできるほか、ユーザーのシステム上でペイロードを実行できる状態にしていました。
同社によれば、この脅威アクターはShadyPandaとして追跡されており、およそ7年にわたって一見無害に見える拡張機能をアップロードし、ユーザーの信頼を得た後にそれらを武器化してきました。
これらの拡張機能は累計400万件以上ダウンロードされており、その一部は現在もダウンロード可能な状態にあります。
2023年、アフィリエイト詐欺に焦点を当てたキャンペーンの一環として、ShadyPandaは「nuggetsno15」という名前で20個のChrome拡張機能を、「Zhang」という名前で125個のEdge拡張機能を公開しました。
これらの拡張機能は、被害者がeBay、Amazon、Booking.comのリンクをクリックするたびに、アフィリエイトトラッキングコードを密かに挿入するよう設計されていました。
「あらゆる購入に対する隠れたコミッションです。これらの拡張機能は、ブラウジングデータを収益化するためにGoogleアナリティクスのトラッキングも展開していました。あらゆるウェブサイト訪問、検索クエリ、クリックパターンが記録され、販売されていたのです」とKoiは述べています。
2024年初頭、この脅威アクターは戦術を変更し、タブの生産性向上ツールを装った拡張機能を公開しました。「Infinity V+」と名付けられたこの拡張機能は、ブラウザハイジャッカーのtrovi.comを経由してウェブ検索をリダイレクトしていました。
さらにShadyPandaは、被害者のクッキーを読み取り、そのデータをnossl.dergoodting.comに送信する悪意あるコードを使用し、ユーザーの同意や認識なしに一意の識別子を作成していました。このコードは検索ボックスに入力されたユーザーの入力内容も取得し、ユーザーの興味関心をリアルタイムでプロファイリングしていました。
これらのキャンペーン以前にも、ShadyPandaは公式ストアに5つの正規拡張機能をアップロードしており、そのうち3つは2018年から2019年の間に公開されたものでした。
これらはいずれも、脅威アクターが2024年半ばに悪意あるアップデートで武器化する前に、Googleから「Featured」と「Verified」のステータスを獲得していました。そのうちの1つであるClean Masterは、30万件以上インストールされていました。
Koiによれば、そのアップデートによって、これらの拡張機能は本質的にリモートコード実行フレームワークへと変貌しました。拡張機能は1時間ごとに外部サーバーに指示を確認し、ブラウザAPIにフルアクセスできる任意のJavaScriptコードを実行していたといいます。
「これは固定機能を持つマルウェアではありません。バックドアです。何をさせるかはShadyPanda次第です。今日は監視でも、明日はランサムウェア、認証情報窃取、企業スパイ行為かもしれません。アップデート機構は自動で、毎時、永続的に動作します」とKoiは述べています。
Koiは、これらの拡張機能がブラウザデータをリモートサーバーに流出させるためのペイロードを実行している様子を観測しました。訪問したURL、HTTPリファラ、タイムスタンプ、永続的なUUID4識別子、完全なブラウザフィンガープリントを収集し、流出前にすべてのデータを暗号化しているのが確認されました。
2023年には、Edge向けClean MasterのパブリッシャーであるStarlab Technologyが、Edgeマーケットプレイスに他に5つの拡張機能をアップロードしており、そのうち2つは「包括的なスパイウェア」であるとKoiは述べています。
これらの拡張機能の1つである「WeTab New Tab Page」は、300万件以上ダウンロードされています。生産性向上ツールを装いながら、実際には高度な監視プラットフォームとして機能し、ユーザーデータを17の異なるドメインに送信しているとKoiは述べています。
このサイバーセキュリティ企業は、コードの類似性、インフラの重複、そして時間とともに進化してきた難読化手法の観測結果に基づき、これらのキャンペーンが関連していると判断したとしています。
Googleの広報担当者は、問題の悪意ある拡張機能はChrome ウェブストア上では利用できないことを確認しました。
SecurityWeekからの問い合わせに対し、Microsoftの広報担当者は、同社はこの問題について通知を受けていなかったと述べました。
「当社は、Edge アドオン ストア上で悪意があると特定されたすべての拡張機能を削除しました。当社ポリシーに違反する事例を把握した場合、禁止コンテンツの削除やパブリッシング契約の終了などを含む、適切な措置を講じます」と同社の代表者は述べました。
*GoogleおよびMicrosoftからの情報を追記しました。
翻訳元: https://www.securityweek.com/chrome-edge-extensions-caught-tracking-users-creating-backdoors/
