1.7百万件インストールされた悪意のあるChrome拡張機能がWebストアで発見される

GoogleのChromeウェブストアで1.7百万回ダウンロードされたほぼ12個の悪意のある拡張機能が、ユーザーの追跡やブラウザの活動の窃取、潜在的に危険なウェブアドレスへのリダイレクトを行う可能性があります。

これらのアドオンの多くは、宣伝されている機能を提供し、カラーピッカー、VPN、音量ブースター、絵文字キーボードなどの正規ツールを装っています。

セキュリティ自己提供型ソフトウェアのプラットフォームを提供する企業、Koi Securityの研究者がChromeウェブストアでこれらの悪意のある拡張機能を発見し、Googleに報告しました。

一部の拡張機能はすでに削除されていますが、多くは引き続き利用可能です。

これらの拡張機能の多くは認証済みで、数百件の好意的なレビューがあり、Chromeウェブストアで目立つ位置に掲載されているため、ユーザーに安全であると誤認させています。

ユーザーはChromeブラウザで以下のアドオンがインストールされていないか確認し、できるだけ早く削除してください：

• Color Picker, Eyedropper — Geco colorpick
• Emoji keyboard online — copy&paste your emoji
• Free Weather Forecast
• Video Speed Controller — Video manager
• Unlock Discord — VPN Proxy to Unblock Discord Anywhere
• Dark Theme — Dark Reader for Chrome
• Volume Max — Ultimate Sound Booster
• Unblock TikTok — Seamless Access with One-Click Proxy
• Unlock YouTube VPN
• Unlock TikTok
• Weather

その中の一つ「Volume Max — Ultimate Sound Booster」は、LayerXの研究者によって先月も警告されており、ユーザーのスパイ行為の可能性が指摘されましたが、その時点では悪意のある活動は確認されませんでした。

研究者によると、悪意のある機能のほとんどは、各拡張機能のバックグラウンドサービスワーカー内でChrome Extensions APIを使用して実装されており、ユーザーが新しいウェブページに移動するたびにトリガーされるリスナーが登録されています。

このリスナーは訪問したページのURLを取得し、各ユーザー固有のトラッキングIDとともにリモートサーバーに情報を送信します。

サーバーはリダイレクト用のURLで応答でき、ユーザーのブラウジング活動を乗っ取り、サイバー攻撃を可能にする危険な場所に誘導する可能性があります。

その可能性はあるものの、Koi Securityはテスト中に悪意のあるリダイレクトは観測していないことに注意が必要です。

さらに、悪意のあるコードは拡張機能の初期バージョンには存在せず、後からアップデートによって追加されました。

Googleの自動アップデートシステムは、ユーザーの承認や操作を必要とせず、最新バージョンを静かに配信します。

これらの拡張機能の一部は何年も安全だったため、外部の攻撃者によって乗っ取られたり、侵害されたことで悪意のあるコードが導入された可能性があります。

BleepingComputerはこの可能性について複数のパブリッシャーに問い合わせましたが、現時点で返答はありません。

この記事の公開前に、Koi Securityの研究者は発見したところによると、サイバー犯罪者はMicrosoft Edgeの公式ストアにも悪意のある拡張機能を仕込んでおり、ダウンロード数は合計60万件に上ります。

「これら18個の拡張機能を合わせると、両ブラウザで230万以上のユーザーが感染しており、私たちが記録した中で最大級のブラウザハイジャック作戦の一つとなっています」と研究者は述べています。

彼らは、すべてのリストされた拡張機能を直ちに削除し、追跡識別子を消去するために閲覧データをクリアし、マルウェアの有無をシステムで確認し、不審な活動がないかアカウントを監視することを推奨しています。