「GhostPoster」と名付けられた新たなキャンペーンが、5万件以上のダウンロードがある悪意のあるFirefox拡張機能の画像ロゴ内にJavaScriptコードを隠し、ブラウザの活動を監視してバックドアを仕込んでいます。
この悪意のあるコードは、オペレーターに対してブラウザへの永続的な高権限アクセスを付与し、アフィリエイトリンクの乗っ取り、追跡コードの注入、クリック詐欺や広告詐欺を可能にします。
隠されたスクリプトは、リモートサーバーからメインのペイロードを取得するローダーとして機能しています。検出をより困難にするため、ペイロードは意図的に10回の試行のうち1回だけ取得されます。
Koi Securityの研究者はGhostPosterキャンペーンを発見し、PNGロゴを読み取ってマルウェアローダーを抽出・実行するか、攻撃者のサーバーからメインのペイロードをダウンロードする、侵害されたFirefox拡張機能17件を特定しました。
なお、悪意のある拡張機能は人気カテゴリのものです:
- free-vpn-forever
- screenshot-saved-easy
- weather-best-forecast
- crxmouse-gesture
- cache-fast-site-loader
- freemp3downloader
- google-translate-right-clicks
- google-traductor-esp
- world-wide-vpn
- dark-reader-for-ff
- translator-gbbd
- i-like-weather
- google-translate-pro-extension
- 谷歌-翻译
- libretv-watch-free-videos
- ad-stop
- right-click-google-translate
研究者によると、上記の拡張機能すべてが同じペイロード読み込みチェーンを使用しているわけではありませんが、いずれも同じ挙動を示し、同一のインフラと通信しています。
FreeVPN Forever拡張機能は、Koi Securityが当初分析したもので、AIツールが、ステガノグラフィ技術を用いて隠されたJavaScriptスニペットを見つけるためにロゴ画像ファイルの生バイトを解析しているとしてフラグを立てました。
出典: Koi Security
JavaScriptローダーは48時間後に起動し、ハードコードされたドメインからペイロードを取得します。最初のドメインからペイロードを取得できない場合に備えて、2つ目のバックアップドメインも用意されています。
Koi Securityによると、ローダーはほとんど休眠状態で、ペイロードを取得するのは10%の確率に限られるため、トラフィック監視ツールによる検出を回避できる可能性が高いといいます。
ダウンロードされるペイロードは、大文字小文字の入れ替えとbase64エンコードによって強く難読化されています。暗号処理により復号された後、拡張機能のランタイムIDから導出したキーを用いてXOR暗号化されます。
出典: Koi Security
最終的なペイロードには次の機能があります:
- 主要なECサイトのアフィリエイトリンクを乗っ取り、手数料を攻撃者にリダイレクトする。
- ユーザーが訪れるすべてのページにGoogle Analyticsのトラッキングを注入する。
- すべてのHTTPレスポンスからセキュリティヘッダーを削除する。
- ボット対策を回避するため、3つの異なる仕組みでCAPTCHAをバイパスする。
- 広告詐欺、クリック詐欺、トラッキングのために不可視のiframeを注入し、15秒後に自己削除する。
このマルウェアはパスワードを収集したり、ユーザーをフィッシングページへリダイレクトしたりはしませんが、それでもユーザーのプライバシーを脅かします。
さらに、GhostPosterが用いるステルス性の高いローダーにより、オペレーターがより有害なペイロードを展開することを決めた場合、このキャンペーンは急速にさらに危険なものになり得ます。
記載された拡張機能のユーザーは削除することが推奨され、重要なアカウントのパスワードをリセットすることも検討すべきです。
執筆時点では、悪意のある拡張機能の多くがFirefoxのアドオンページでまだ利用可能でした。BleepingComputerはMozillaに連絡しましたが、コメントはすぐには得られませんでした。
