TokyoBlackHatNews

gbhackers.com 5分で読了

GhostPoster攻撃、PNGアイコンを悪用してFirefoxユーザー5万人を侵害

「GhostPoster」と呼ばれる高度なマルウェアキャンペーンが、ブラウザ拡張機能のアイコンを悪用して約5万人のFirefoxユーザーを侵害しました。

Koi Securityのセキュリティ研究者は発見しました。悪意ある攻撃者がPNGロゴファイル内に隠しマルウェアのペイロードを直接埋め込み、一見無害な視覚要素を、従来のセキュリティスキャンを回避する危険な配布メカニズムへと変えているのです。

このキャンペーンは17個のFirefox拡張機能に及び、合計インストール数は5万人を超えています。

悪意ある拡張機能の中でも「Free VPN Forever」は2025年9月からFirefox Add-onsマーケットプレイスで公開されており、1万6,000件以上のインストールを集めています。

報告時点でもこの拡張機能は公開されたままで、VPNサービス、翻訳ツール、天気予報、広告ブロッカーなどを装った多数の侵害済みアドオンと並んで存在しています。

Image
Free VPNに関するKoidexレポート。

この攻撃ではステガノグラフィ(画像の見た目を変えずに実行コードを画像ファイル内に隠す技術)が用いられています。

Free VPN Foreverのような拡張機能が読み込まれると、自身のlogo.pngファイルを取得します。これは標準的な動作であり、セキュリティ上の警告は発生しません。

しかしその後、拡張機能は画像の生バイト列から、等号3つ(===)で構成される特定のマーカーを探します。このマーカー以降は画像データではなく、抽出・実行されるのを待つ隠しJavaScriptコードです。library​

この多段階のマルウェア構成は、ロゴが初期ローダーとして機能するところから始まります。抽出されたコードは、liveupdt[.]comまたはバックアップのdealctr[.]comにあるC&C(コマンド&コントロール)サーバーへ接続し、実際のペイロードを取得します。

Image
隠しペイロードを探すためにロゴのバイト列をスキャン。

このマルウェアは、サーバーへのチェックイン間隔を48時間空け、さらにペイロードを取得するのは10%の確率に限定することで、高度な回避戦術を示しています。

このランダムな挙動パターンにより、ネットワークトラフィックを監視するセキュリティ研究者が不審な活動を観測するのは極めて困難になります。感染した拡張機能は長期間にわたり静かに動作する可能性があります。library​

C&Cサーバーからペイロードが到着すると、大文字と小文字を入れ替え、8と9を交換し、その後Base64デコードを適用する独自のエンコーディング処理が行われます。

デコードされたペイロードは、拡張機能固有の実行時IDを用いてXOR暗号化され、ブラウザストレージに保存されます。これにより被害者のシステム上で永続化が確立されます。library​

包括的なブラウザ乗っ取り

最終ペイロードは、ユーザーに気付かれないまま感染したブラウザを収益化する多面的な攻撃を実行します。

マルウェアは、TaobaoやJD.comなど主要なECプラットフォーム上のアフィリエイトリンクを傍受し、正規アフィリエイターのコミッションを攻撃者へ付け替えます。

訪問したすべてのページにGoogle Analyticsのトラッキング(ID: UA-60144933-8)を注入し、インストール日、感染期間、訪問した加盟店ネットワーク、固有のブラウザ識別子を収集します。library+1​

特に懸念されるのは、マルウェアがHTTPレスポンスから重要なセキュリティヘッダーを積極的に削除し、クリックジャッキングやクロスサイトスクリプティング攻撃を防ぐContent-Security-PolicyおよびX-Frame-Optionsの保護を無効化する点です。

この拡張機能には複数のCAPTCHA回避手法が含まれており、不可視オーバーレイでユーザー操作を模倣したり、refeuficn.github.ioでホストされる外部ソルバーを利用したりします。

広告詐欺およびクリック詐欺のためにページへ隠しiframeが注入され、フォレンジック検出を避けるため15秒後に消えます。

悪意あるVPN拡張機能

GhostPosterは、無料VPN拡張機能が悪性化するという憂慮すべき傾向の最新例です。

Image
FirefoxのマーケットプレイスにおけるFree VPNのページ。

今月初めには、Googleで特集されユーザー800万人を抱える拡張機能Urban VPN Proxyが、ChatGPT、Claude、GeminiからAI会話を収集し、データブローカーに販売していたことが暴露されました。

同様に、別の認証済み拡張機能でインストール数10万超のFreeVPN.Oneも、ユーザーの銀行情報、個人的な写真、機密文書のスクリーンショットを密かに取得していたことが発覚しました。

GhostPosterキャンペーンは、攻撃者が試行錯誤を通じて手法を洗練させていることを示しています。

特定された17個の拡張機能は配布メカニズムがさまざまで、PNGステガノグラフィを用いるものもあれば、JavaScriptを直接ダウンロードするもの、あるいはエンコードされたC&Cドメインを使った隠しeval()呼び出しを用いるものもあります。

これは、脅威アクターがどのアプローチが最も長く検出を回避し、最大の収益を生むかをテストしていることを示唆します。

ユーザーは直ちにFirefox拡張機能を見直し、見覚えのないものや最近インストールしたVPNおよびユーティリティ拡張機能を削除して、この継続中の脅威から身を守るべきです。

翻訳元: https://gbhackers.com/ghostposter-attack/

ソース: gbhackers.com
#CAPTCHAバイパス #Firefox拡張機能 #GhostPoster #PNGステガノグラフィ #アフィリエイト詐欺 #コマンド&コントロール(C2) #ブラウザハイジャック #マルウェアキャンペーン #広告詐欺・クリック詐欺 #無料VPN拡張機能

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚