Koi Securityのセキュリティ研究者チームによって、Google ChromeおよびMicrosoft Edgeで今なおダウンロード可能な18個の悪意あるブラウザ拡張機能が特定されました。
これらの拡張機能は、生産性やエンターテインメント用ツールを装い、絵文字キーボード、天気予報、動画速度コントローラー、DiscordやTikTok用VPNプロキシ、ダークテーマ、音量ブースター、YouTubeアンブロッカーなど多様なカテゴリにわたっています。
いずれも宣伝されている機能的なサービスを提供しつつ、裏でブラウザの監視やハイジャック機能を密かに実装しています。これまでに230万人以上のブラウザユーザーが感染しています。
これらの拡張機能のいくつかは、GoogleやMicrosoftによって認証されていたり、ChromeウェブストアやEdgeアドオンストアで特集されていました。
各拡張機能は独自のコマンド&コントロール用サブドメインで動作しており、別々の運営者がいるように見せかけていますが、研究者たちは18個の拡張機能すべてが同じ中央集権的な攻撃インフラの一部であることを突き止めました。
このキャンペーンは「RedDirection」と名付けられ、Koi Securityはその調査結果をDardikmanのMediumページ上の7月8日のレポートで共有しました。
正規の拡張機能が後のアップデートで悪意あるものに
Koi Securityの研究者が最初に特定した拡張機能「Color Picker, Eyedropper — Geco colorpick」は、一見無害なChrome拡張機能で、10万回以上インストールされ、800件以上のレビューがあります。
実際には、この拡張機能も悪意あるコマンド&コントロール(C2)バックドアを提供しており、攻撃者がユーザーの訪問したすべてのウェブサイトを追跡できるようになっています。
この拡張機能を発見した後、Idan Dardikman氏とKoi Securityの研究者たちはさらに調査を進めました。
彼らは、同様の機能を持つ11個のChrome拡張機能と7個のEdge拡張機能を発見しました。
GoogleやMicrosoftのセキュリティフィルターによるブロックを回避するため、RedDirectionの拡張機能は最初はクリーンな拡張機能として作成され、後のバージョンでマルウェアが追加されました。これらは自動的にインストールされ、ユーザーの操作なしで、初期バージョンのリリースから数年後に悪意あるコードが追加されることもありました。
「GoogleとMicrosoftの認証プロセスは、11種類の異なる拡張機能にわたる高度なマルウェアを検出できず、代わりにいくつかの拡張機能を認証バッジや特集掲載でユーザーに推奨していました」とDardikman氏は説明しています。
拡張機能に追加された悪意あるコードにより、攻撃者は以下のことが可能になります:
- ユーザーが訪問したページのURLを取得する
- ユーザーの固有の追跡IDとともにそれらをリモートサーバーに送信する
- C2サーバーからリダイレクト先のURLを受信する可能性がある
- 指示があればブラウザを自動的にリダイレクトする
このキャンペーンは「私たちが頼りにしている信頼のシグナルを、高度な脅威アクターがいかに悪用しているかを完璧に示しています」とDardikman氏はレポートで述べています。
18個の悪意ある拡張機能のいずれかをインストールしているChromeおよびEdgeユーザーに対し、Dardikman氏は、直ちにそれらを削除し、保存された追跡識別子を消去するためにブラウザデータをクリアし、追加の感染を確認するためにシステム全体のマルウェアスキャンを実行し、機密性の高いサイトを訪問した場合はアカウントに不審な活動がないか監視することを推奨しています。
Koi Securityの研究者チームはGoogleとMicrosoftに調査結果を報告しましたが、執筆時点ではどちらの企業からも返答はありませんでした。
翻訳元: https://www.infosecurity-magazine.com/news/18-malicious-chrome-edge-extensions/