- Koi Securityが、バックドアと追跡コードを隠した悪意あるFirefox拡張機能17件を発見。ダウンロード数は5万回超
- 拡張機能はリモートサーバーからペイロードを取得し、アフィリエイトリンクを乗っ取り、トラッカーを注入し、セキュリティヘッダーを削除し、広告詐欺の仕組みを有効化していた
- Mozillaは影響を受けたアドオンをすべて削除し、検知システムを更新。ユーザーはアンインストールし、アカウントを保護すべき
専門家は、十数件のFirefox拡張機能が悪意あるものと判明し、バックドアを仕込み、ユーザーの閲覧習慣を追跡していたと警告している。
これはKoi Securityのセキュリティ研究者によるもので、同社はこのキャンペーンを「GhostPoster」と名付け、これらの拡張機能の一部は悪意あるコードを取得する方法がかなり独特だと述べた。
合計で、これらの拡張機能は5万回以上ダウンロードされている。
アフィリエイトリンクの乗っ取り
現時点で判明しているものの全リストは次のとおりだ:
free-vpn-forever
screenshot-saved-easy
weather-best-forecast
crxmouse-gesture
cache-fast-site-loader
freemp3downloader
google-translate-right-clicks
google-traductor-esp
world-wide-vpn
dark-reader-for-ff
translator-gbbd
i-like-weather
google-translate-pro-extension
谷歌-翻译
libretv-watch-free-videos
ad-stop
right-click-google-translate
これらの拡張機能の一部は、悪意あるJavaScriptコードをPNGロゴ内に実際に格納している。そのコードは、リモートサーバーからメインのペイロードをダウンロードする方法に関する指示として機能する。検知と帰属をより困難にするため、攻撃者は拡張機能がメインのペイロードをダウンロードするのを10%の確率にした。
メインのペイロードはさまざまなことができる。何よりまず、大手ECサイトのアフィリエイトリンクを乗っ取り、コンテンツ制作者から直接金銭を奪う。
次に、ユーザーが訪れるすべてのページにGoogle Analyticsのトラッキングを注入し、すべてのHTTPレスポンスからセキュリティヘッダーを削除する。
最後に、3つの別個の仕組みを使ってCAPTCHAを回避でき、主に広告詐欺、クリック詐欺、追跡に用いられる不可視のiframeを注入できる。これらのiframeはおよそ15秒後に自己破壊する。
アフィリエイトから金銭を盗み、ユーザーの行動を監視することは間違いなく重大な問題だが、研究者は、攻撃者がパスワードの収集を開始したり、ユーザーを偽の銀行ログインページや同様のフィッシングサイトへリダイレクトしたりすることを決めれば、このキャンペーンはいつでもさらに破壊的になり得ると警告した。
報道が出た後、Mozillaは報告を調査し、発見された拡張機能をすべてブラウザーストアから削除することを決定した。
「当社のアドオンチームがこの報告を調査し、その結果、これらの拡張機能をすべてAMOから削除する措置を取りました」と同社はBleepingComputerに語った。「同様の攻撃を用いる拡張機能を現在および将来にわたって検知・ブロックできるよう、自動化システムを更新しました。新たな攻撃が出現するたびに、当社はシステムの改善を継続します。」
これらの拡張機能のいずれかを使用している場合は、直ちに削除し、重要なアカウントを保護すべきだ。
