2024年を通じて、Bitdefender Labsは、人気プラットフォームを悪用してマルウェアを拡散する一連のマルバタイジング(悪意ある広告)キャンペーンを綿密に監視してきました。これらのキャンペーンは偽広告を用い、正規アプリや更新プログラムを装った悪意あるソフトウェアをインストールさせるようユーザーを誘導します。
Bitdefender Labsが最近発見したキャンペーンの一つは、MetaのソーシャルメディアプラットフォームFacebook上で宣伝される偽のBitwarden拡張機能に関するものです。このキャンペーンは、セキュリティ更新を装って有害なブラウザ拡張機能をインストールさせるようユーザーをだまします。
主な調査結果は次のとおりです:
- プラットフォームの悪用:攻撃者はFacebookの広告プラットフォームを利用し、正規に見えるものの悪意あるWebサイトへ誘導する広告を配信しています。
- 著名ブランドのなりすまし:このキャンペーンは、人気のパスワードマネージャーであるBitwardenになりすまし、信頼を得るとともに、「セキュリティ更新」をインストールするよう促して緊急性を演出します。
- 特定のターゲット層:2024年11月3日に開始されたこのキャンペーンは、欧州全域の18〜65歳の消費者を特に標的としています。
- 現在の到達範囲と世界的拡大の可能性:悪意ある広告はすでに数千人のユーザーに配信されており、さらに拡大する可能性があります。放置すれば、このキャンペーンは世界規模に拡大し、世界中のユーザーに影響を及ぼし得ます。
- リダイレクトチェーンの使用:これらの広告をクリックしたユーザーは複数のサイトを経由してリダイレクトされ、最終的に公式のChromeウェブストアを模倣したフィッシングページに到達します。これにより広告の悪意ある意図が見えにくくなります。
- ビジネス/個人アカウントのデータ収集:マルウェアは個人データを収集し、Facebookのビジネスアカウントも標的にするため、個人および企業に金銭的損失が生じる可能性があります。
今回もまた、このキャンペーンは、脅威アクターがFacebookのような信頼されるプラットフォームを悪用して、ユーザー自身にセキュリティを損なわせる手口を浮き彫りにしています。信頼できるツールを装い、緊急性の高い更新通知を模倣することで、サイバー犯罪者は価値の高い個人情報やビジネス情報へアクセスします。
Bitdefender Labsの調査により、この種の攻撃で用いられる進化する戦術について、より明確に理解できるようになりました:
1. ステップ1:偽広告でユーザーを誘い込む
攻撃は、ユーザーのパスワードが危険にさらされていると警告し、Bitwardenのブラウザ拡張機能を更新するよう促す欺瞞的なFacebook広告から始まります。広告はBitwardenのブランド要素と、「警告:あなたのパスワードが危険にさらされています!」といった切迫した文言を用いて正規に見せかけ、ユーザーに行動を促します。
広告をクリックすると、公式のChromeウェブストアを模倣するよう設計された偽のWebページに移動します。ユーザーが「Add to Chrome(Chromeに追加)」をクリックすると、悪意ある拡張機能を含むzipファイルへのGoogle Driveリンクへリダイレクトされます。攻撃者は次の手順で拡張機能をインストールするようユーザーを誘導します:
- ファイルを解凍する
- chrome://extensions からブラウザの拡張機能設定を開く
- デベロッパーモードを有効にする
- 解凍した拡張機能を手動で読み込む(サイドロード)。
この方法は、ユーザーにブラウザのセキュリティチェックを回避させ、マルウェアが検知されずにインストールされるようにします。
2. 悪意ある拡張機能の詳細:フルアクセスと不審な権限
インストールされると、悪意ある拡張機能はユーザーのオンライン活動を傍受・操作できる広範な権限を要求します。拡張機能のmanifestファイルを詳しく見ると、すべてのWebサイト上で動作する権限、ネットワークリクエストの変更、ストレージおよびCookieへのアクセスなどが含まれていることが分かります。manifestの主な要素は次のとおりです:
{
“name”: “Bitwarden Password Manager”,
“version”: “0.0.1”,
“manifest_version”: 3,
“background”: {
“service_worker”: “service-worker-loader.js”,
“type”: “module”
},
“permissions”: [
“contextMenus”,
“storage”,
“cookies”,
“tabs”,
“declarativeNetRequest”,
“webNavigation”,
“webRequest”,
“management”
]
}
拡張機能のservice-worker-loader.jsスクリプトは、悪意ある動作を駆動する主要コンポーネントであるbackground.jsを起動します。さらに、難読化されたスクリプトであるpopup.jsは、ユーザーがブラウザで拡張機能アイコンをクリックした際に読み込まれ、次のことを可能にします:
- https://facebook.com のCookieにアクセスし、特にFacebookユーザーIDを含むc_user Cookieを探索する。
- ページのDOM要素を操作して偽の読み込みメッセージを表示し、正当な処理が行われているかのような錯覚を作り出す。
3. バックグラウンドワーカー:データの収集と持ち出し
インストール時に有効化されるbackground.jsスクリプトが、この攻撃の中核です。
chrome.runtime.onInstalled.addListener(async details => {
getFacebookCookies();
});
動作の仕組みは次のとおりです:
- Cookieの収集:インストール後、background.jsはgetFacebookCookies()を呼び出してFacebookのCookieを確認します。見つかった場合、collectData()関数を用いて追加データを収集します。
- IPおよび位置情報データの収集:拡張機能は https://api.ipify.org および https://freeipapi.com を介してIPと位置情報データを照会します。
- Facebookデータの抽出:FacebookのGraph APIを通じて、マルウェアは次を含むユーザーデータを取得します:
- ユーザーIDや氏名などの個人情報
- ビジネスアカウントおよび広告アカウント情報
- 広告アカウントに関連付けられたクレジットカードおよび請求情報
収集されたデータはGoogle ScriptのURLへ送信され、攻撃者にとってのコマンド&コントロール(C2)サーバーとして機能します。sendData()関数が、機密情報をエンコードして送信することでデータの持ち出しを行います。
4. 検知と防御戦略
この攻撃はFacebookやGoogle Driveといった正規プラットフォームへの依存度が高いため、サイバーセキュリティチームにとって検知と緩和は困難です。セキュリティ担当者向けの検知アイデアをいくつか示します:
- 不審な権限を監視:declarativeNetRequest および webRequest の権限にCookieへのアクセスが組み合わさっている場合、マルウェアの可能性を示す強い兆候です。
- 振る舞いシグネチャ:chrome.runtime.onInstalled.addListener のような難読化された関数や、graph.facebook.com APIへの呼び出しは、侵害指標(IoC)として利用できます。
ユーザー向け安全対策のヒント
同様のマルバタイジングキャンペーンから身を守るため、次の重要なセキュリティ対策に従ってください:
- 拡張機能の更新を確認する:広告やサードパーティのリンクをクリックするのではなく、必ず公式のブラウザストア(例:Chromeウェブストア)から直接拡張機能を更新してください。
- 広告とリンクを精査する:ソーシャルメディア上のスポンサー広告には注意し、特に即時の対応やセキュリティツールの更新を求めるものには警戒してください。
- 拡張機能の権限を確認する:拡張機能をインストールまたは更新する前に、権限を確認してください。Cookie、ネットワークリクエスト、または全Webサイトのデータへのアクセスを要求する拡張機能は悪意がある可能性があります。
- セキュリティ機能を有効にする:拡張機能の不正なサイドロードを防ぐため、使用していないときはデベロッパーモードを無効にするなど、ブラウザのセキュリティ設定を活用してください。
- 不審な広告を報告する:ソーシャルメディア上で誤解を招く広告や悪意ある広告を見つけた場合は、同様の攻撃の拡散防止に役立つよう、プラットフォームへ報告してください。
6. セキュリティソリューションを利用する:Bitdefender Total Securityのような信頼できるセキュリティソリューションを利用して、マルバタイジングやフィッシング攻撃から身を守りましょう。包括的なセキュリティソリューションは、悪意あるリンク、フィッシングの試み、不正なブラウザ拡張機能を検知してブロックし、追加の防御層を提供します。
プロのヒント:Bitdefender Scamioを使って詐欺や悪意ある広告を抑止しましょう。
Bitdefender Scamio は、閲覧中やソーシャルメディアのフィードでのやり取りの際に、詐欺や悪意ある広告を避けたいネットユーザー必携の詐欺検知ツールです。Scamio は、オンラインで見かけた怪しいリンクや提案が詐欺かどうかを確認するために使える、無料のオンデマンド詐欺検知ツールです。
Scamio は、あらゆるテキスト、メッセージ、リンク、QRコード、画像を分析し、それらが詐欺の一部かどうかの判定を提示できます。Scamioは Facebook Messenger、 WhatsApp、 Webブラウザ および Discordで利用できます。
広告についてScamioが何と言ったか見てみましょう:
また、 フランス、 ドイツ、 スペイン、 イタリア、 ルーマニア、 オーストラリア、そして 英国でScamioを共有することで、他の人の安全確保にも役立てられます。
さらに、新しい Scam Copilotの提供開始により、個人用の詐欺アドバイザー・チャットボットへのアクセス、地域における詐欺波のアラート、閲覧活動における詐欺のリアルタイム検知、リモートアクセス詐欺対策などを通じて、すべてのデバイスにわたる包括的な詐欺対策を利用できます。Scam Copilotの機能は、受賞歴のある当社のアンチマルウェア保護と組み合わせて、オールインワンのセキュリティソリューションで提供されています。
