GhostPosterキャンペーンに関連する別の悪意のある拡張機能17件が、Chrome、Firefox、Edgeのストアで発見され、合計で840,000件のインストールを蓄積していました。
GhostPosterキャンペーンは12月に、Koi Securityの研究者によって最初に報告されました。彼らは、ロゴ画像の中に悪意のあるJavaScriptコードを隠していた拡張機能17件を発見し、ブラウザの活動を監視してバックドアを仕込んでいました。
このコードは外部リソースから強く難読化されたペイロードを取得し、被害者の閲覧活動を追跡し、主要なECプラットフォーム上のアフィリエイトリンクを乗っ取り、広告詐欺およびクリック詐欺のために不可視のiframeを注入します。
ブラウザセキュリティプラットフォームLayerXによる新しいレポートでは、露見したにもかかわらずこのキャンペーンが依然として継続しており、以下の17件の拡張機能がその一部であると示しています。
- 右クリックでGoogle翻訳 – 522,398件のインストール
- Googleで選択テキストを翻訳 – 159,645件のインストール
- Ads Block Ultimate – 48,078件のインストール
- フローティングプレーヤー – PiPモード – 40,824件のインストール
- すべてを変換 – 17,171件のインストール
- Youtubeダウンロード – 11,458件のインストール
- ワンキー翻訳 – 10,785件のインストール
- AdBlocker – 10,155件のインストール
- 右クリックで画像をPinterestに保存 – 6,517件のインストール
- Instagramダウンローダー – 3,807件のインストール
- RSSフィード – 2,781件のインストール
- クールカーソル – 2,254件のインストール
- フルページスクリーンショット – 2,000件のインストール
- Amazon価格履歴 – 1,197件のインストール
- カラーエンハンサー – 712件のインストール
- 右クリックで選択テキストを翻訳 – 283件のインストール
- ページスクリーンショットクリッパー – 86件のインストール
研究者によると、このキャンペーンはMicrosoft Edgeで始まり、その後FirefoxとChromeへ拡大しました。
LayerXは、上記の拡張機能の一部が2020年以降ブラウザのアドオンストアに存在していたことを確認しており、長期にわたる運用が成功していたことを示しています。
出典: LayerX
回避手法および有効化後の機能は、Koiが以前に文書化した内容とほぼ同じままですが、LayerXは「Instagram Downloader」拡張機能において、より高度な亜種を特定しました。
違いは、悪意のあるステージングロジックを拡張機能のバックグラウンドスクリプトへ移し、アイコンだけでなく、同梱された画像ファイルを秘匿ペイロードのコンテナとして使用する点にあります。
出典: LayerX
実行時にバックグラウンドスクリプトは、画像の生バイト列から特定の区切り文字(>>>>)を探し、隠されたデータを抽出して拡張機能のローカルストレージに保存し、その後Base64でデコードしてJavaScriptとして実行します。
LayerXは最新のGhostPoster亜種について、「この段階的な実行フローは、より長い休眠期間、モジュール性、そして静的・挙動ベースの検知メカニズム双方に対する耐性へ向けた明確な進化を示している」とコメントしています。
研究者によると、新たに特定された拡張機能は、MozillaおよびMicrosoftのアドオンストアにはすでに存在しません。しかし、ブラウザにインストールしたユーザーは依然としてリスクにさらされている可能性があります。
BleepingComputerは、Chromeウェブストアにこれらの拡張機能が存在していた件についてGoogleに問い合わせ、広報担当者はそれらがすべて削除されたことを確認しました。
