暗号資産トレーダーを標的とした高度なマルウェアキャンペーンがSocketの脅威リサーチチームによって発見され、MEXC取引所のAPI認証情報を盗み、無許可のアカウント制御を可能にする悪意あるChrome拡張機能の存在が明らかになりました。
この悪意ある拡張機能は、プログラム的に新しいMEXC APIキーを作成し、ユーザーに知られないまま出金権限を有効化し、生成された認証情報を攻撃者が制御するハードコードされたTelegramボットへ流出させることで動作します。
いったんインストールされると、感染したブラウザ経由でアクセスされたあらゆるMEXCアカウントが、完全なプログラム的乗っ取りの危険にさらされ、脅威アクターは無許可の取引を実行し、出金を自動化し、暗号資産ウォレットを空にすることが可能になります。
この攻撃が特に悪質なのは、悪意あるバックエンド機能を維持したまま、ユーザーインターフェースを操作できる点です。
MEXC API Automator拡張機能は、2025年9月1日にChrome Web Storeへ公開され、jorjortan142という別名を用いる脅威アクターによって登録されました。正規の取引自動化ツールを装いながら、出金権限を持つ高価値なAPIキーを密かに収集します。
この拡張機能はUI上で有効化された出金権限を隠し、被害者に対してAPIキーの機能が限定的であるかのように見せかけますが、実際にはアカウントへの完全なアクセス権を付与しています。
この欺瞞により、ユーザーが不審な権限要求に気づくはずの従来のセキュリティ意識に基づく対策を、攻撃者は回避できます。
グローバル取引所を標的に
MEXCは、170以上の国と地域で数百万人のユーザーにサービスを提供する巨大なグローバル展開を持つため、サイバー犯罪者にとって魅力的な標的となっています。
この中央集権型暗号資産取引所は2,000種類以上の暗号資産の取引を提供し、自動取引や出金のためのAPIサポートも備えているため、盗んだ認証情報を通じて直接的な金銭的利益を狙う脅威アクターにとって格好の機会となります。
取引所を取り巻く複雑な規制環境は、被害者の対応や復旧の取り組みをさらに難しくしています。
MEXCは公式には米国、カナダ、英国、シンガポール、その他いくつかの法域のユーザーへのサービスを制限していますが、これらの地域の多くのトレーダーはVPNを通じて依然としてプラットフォームにアクセスしており、潜在的な被害者層は大幅に拡大しています。
MEXC API Automatorは、パスワードのような従来の認証情報を狙うのではなく、すでに出金権限を持つAPIキーの窃取に注力しています。
これらのキーは、長期間有効で、取引ボットや自動化フレームワークを含む複数のシステムで一般的に使用され、対話型ログインセッションほど厳密に監視されないことが多いため、より価値の高い標的となります。
この拡張機能はChrome Web Store上で、取引と出金に必要な権限を伴うAPIキー作成を自動化する生産性ツールとして宣伝されています。
しかし、ユーザーがMEXCのAPI管理ページに移動すると、拡張機能は悪意あるコンテンツスクリプトを注入し、確認プロンプトや設定画面なしに、認証済みセッション内で動作を開始します。
攻撃の技術分析
この拡張機能はmanifest v3のChrome拡張機能として動作し、MEXCのAPIキー管理ページを特に標的としています。
有効化されると、悪意あるスクリプトはAPIキー作成フォームを見つけ出し、利用可能なすべての権限チェックボックスをプログラム的に選択し、出金機能が有効のままであることを確実にしつつ、CSSスタイルを操作してこの事実をユーザーから隠します。
この攻撃フローは高度な回避手法を示しています。拡張機能は二要素認証の回避を試みるのではなく、ユーザーに通常どおり2FAを完了させ、その後、MEXCが新たに生成されたアクセスキーとシークレットキーを含む成功モーダルを表示した時点で制御を再開します。
スクリプトは両方の値を抽出し、ハードコードされたトークン7534112291:AAF46jJWWo95XsRWkzcPevHW7XNo6cqKG9Iを使用して、HTTPSのPOSTリクエストでTelegramボットへ送信します。
UI上の欺瞞を維持するため、拡張機能は出金権限チェックボックスに対して特別な処理を実装しています。
チェック状態の視覚表示を取り除き、チェックマークを隠すCSSを注入し、さらにMEXCのインターフェースが正しい視覚状態を復元しようとした場合でも、この隠蔽を継続的に再適用するためのMutationObserverを展開します。
これにより、セキュリティ意識の高いユーザーがAPIキー設定を確認したとしても、安全な取引専用キーに見える状態が保証されます。
Socketの分析により、この悪意ある拡張機能が「SwapSushi」ブランドの下で運用される、より広範な脅威インフラに接続していることが明らかになりました。
開発者ハンドルのjorjortan142は複数のプラットフォームで確認されており、表示名を「sushi.crypto」とするXアカウント(@jorjortan142)では、自身を「CEO Telegram Crypto Wallet SwapSushi」と説明し、t[.]me/swapsushibotのTelegramボットへのリンクを掲載しています。
追加の指標は、連携した悪意ある活動を示唆しています。「SwapSushi」というYouTubeチャンネルが同じTelegramボットを宣伝しているほか、詐欺対策コミュニティが維持するオープンソースのブロックリストでは、swapsushi[.]netが暗号資産関連の詐欺ドメインとしてフラグ付けされています。
一貫したブランディングとクロスプラットフォームでの相互リンクは、MEXC API AutomatorとSwapSushiのインフラが同一の脅威アクターに属するという中程度の確信を裏付けています。
セキュリティ研究者は、この攻撃手法が今後、追加のプラットフォームを標的に拡大する可能性が高いと評価しています。
認証済みブラウザセッション内でAPIワークフローを乗っ取るという拡張機能の手法により、脅威アクターは多くの従来型セキュリティ制御を回避しつつ、出金権限を持つ長期有効な認証情報を入手できます。
この手口は、他の暗号資産取引所、DeFiダッシュボード、ブローカーポータル、そして認証トークンを発行するあらゆるWebベースのコンソールへ容易に転用可能です。
公開時点で、MEXC API Automator拡張機能はChrome Web Storeで引き続き入手可能な状態です。
SocketはGoogleに通知し、拡張機能の削除を求めてフラグ付けしましたが、ユーザーはインストール済み拡張機能を確認し、悪意ある拡張機能が有効だった間に作成されたAPIキーを無効化することで、アカウントを保護するための即時対応を取るべきです。
翻訳元: https://gbhackers.com/malicious-chrome-extension-5/
