Socketの脅威リサーチチームは、2017年以降、悪意のあるChrome拡張機能を通じて運用されてきた高度な認証情報収集キャンペーンを暴露しました。
Phantom Shuttle(幻影穿梭)という名称の拡張機能の2つの亜種が、脅威アクターのメールアドレス [email protected] 名義で公開されており、正規のネットワークテストツールを装いながら、完全なトラフィック傍受と認証情報の窃取を実行して、2,180人以上のユーザーを侵害しました。
これらの拡張機能は、中国語話者の開発者や海外貿易担当者を主な標的として、「複数拠点対応のネットワーク速度テストプラグイン」として売り込まれています。
ユーザーは月額¥9.9〜¥95.9 CNY($1.40〜$13.50 USD)のサブスクリプション料金を支払い、機能するVPNサービスを購入していると信じています。
しかし、この商業的な外観の裏で、両亜種は同一の悪意ある動作を実行します。HTTP認証リクエストへの自動的な認証情報注入、マン・イン・ザ・ミドル(MITM)となるプロキシ配置、そして脅威アクターが管理するインフラへのユーザーデータの継続的な流出です。
このマルウェアは、拡張機能内に同梱された2つの悪意あるJavaScriptライブラリを通じて動作します。
独自の文字インデックス符号化による難読化を用い、正規のjQuery v1.12.2ライブラリコードの先頭に悪意ある命令を付加しています。
マルウェアは、ハードコードされたプロキシ認証情報(topfany / 963852wei)を、あらゆるWebサイトにおけるすべてのHTTP認証チャレンジへ自動的に注入します。
ChromeのwebRequestリスナーが、ユーザーが目にする前に認証プロンプトを傍受し、脅威アクターの認証情報で透過的に応答します。ユーザーは認証情報のやり取りを目にすることはなく、プロキシ認証はバックグラウンドで静かに行われます。
この設計により、被害者に完全に気付かれないまま、脅威アクターのインフラへシームレスに認証できるようになります。
高価値ドメインの選択的ターゲティング
ユーザーが支払いによってVIPステータスを有効化すると、拡張機能はChromeのProxy Auto-Configuration(PAC)スクリプトを動的に設定し、170以上の標的ドメインからのトラフィックを攻撃者管理下のプロキシ経由でルーティングします。
ドメイン一覧は高度な被害者優先順位付けを示しています。開発者ツール(GitHub、npmレジストリ、Docker)、クラウドサービスのコンソール(AWS、Azure、DigitalOcean)、企業向けプラットフォーム(Cisco、IBM、VMware)、ソーシャルメディア(Facebook、Twitter、Instagram)、そして恐喝の材料になり得るアダルトコンテンツサイトです。
脅威アクターの認証情報がすでに注入されているため、トラフィックは悪意あるプロキシインフラを透過的に通過します。
攻撃者は完全なマン・イン・ザ・ミドルの位置を確保し、HTTPトラフィック、ヘッダー、POSTデータ、フォーム送信、認証Cookie、機密性の高いAPIトークンをリアルタイムで捕捉します。
プロキシによるトラフィック捕捉に加え、この拡張機能はphantomshuttle.spaceにあるC2サーバーへ、60秒ごとの執拗なハートビート通信を維持します。
5分ごとに、表向きはVIPステータスの定期確認として、ユーザーのメールアドレスと平文パスワードを暗号化されていないJSONリクエストで脅威アクターへ直接送信します。
この二重チャネル方式(プロキシ傍受+平文認証情報の継続的流出)により、包括的なデータ窃取が実現されます。
影響と推奨事項
8年以上にわたる運用期間は、短期的なキャンペーンではなく、確立された運用であることを示しています。
C2ドメインは2017年11月3日に登録され、2025年12月23日時点でも完全に稼働しており、香港のAlibaba Cloud上のIP 47.244.125.55に解決されます。
設定管理、決済処理、ユーザーステータス監視のための複数のアクティブなAPIエンドポイントは、完全に機能する商用グレードの犯罪サービスであることを示しています。
開発者を標的にしている点は、企業にとって重大なリスクを生みます。GitHub、AWS、そしてnpmリポジトリから漏えいした認証情報は、サプライチェーン攻撃や不正なコード注入を可能にします。
組織は、従業員がインストールした拡張機能を直ちに監査し、拡張機能の許可リスト(allowlisting)ポリシーを導入し、webRequest、authProvider、proxyの権限を同時に要求する拡張機能をブロックすべきです。
ユーザーは、インストール前に拡張機能の権限を確認し、機微な権限を要求するVPN拡張機能を避け、個人用と業務用システムで別々の認証情報を維持すべきです。
SocketはGoogleのChrome Web Storeに削除要請を提出しましたが、公開時点では拡張機能は依然として公開されたままです。
翻訳元: https://gbhackers.com/fake-vpn-chrome-extensions/
