高度なマルウェアキャンペーンが、検知回避のための先進的なステガノグラフィ技術を用いる17個の悪意ある拡張機能を展開し、Chrome、Firefox、Edgeのユーザーを侵害しました。
合計で84万回以上ダウンロードされたGhostPoster作戦は、これまでに記録されたブラウザ拡張機能の脅威の中でも、最も技術的に成熟し、かつ執拗なものの一つです。
GhostPosterキャンペーンは、一般的ではない攻撃ベクトルを悪用しています。すなわち、ブラウザ拡張機能に同梱されたPNGアイコンファイル内に悪意あるペイロードを埋め込む手法です。
このステガノグラフィ手法により、脅威アクターはブラウザ拡張機能マーケットプレイスで用いられる従来の静的解析やセキュリティ審査プロセスを回避できます。
このマルウェアは、最大限の秘匿性を狙った多段階の感染チェーンで動作します。インストール時、拡張機能は自身のアイコンファイルを解析し、初期ローダーを含む隠しバイナリデータを抽出します。
直ちに実行するのではなく、マルウェアはコマンド&コントロール通信を開始する前に48時間以上の戦略的な遅延を設けます。これにより、インストール後の不審な活動を監視する振る舞い検知システムを回避できます。
起動すると、抽出されたローダーはリモートのC2インフラに接続し、追加のJavaScriptペイロードをダウンロードします。
このモジュール型アーキテクチャにより、脅威アクターは拡張機能自体を改変することなく悪意ある機能を更新でき、運用上の柔軟性と、テイクダウンへの耐性を得られます。
トラフィックのハイジャックと不正行為
起動後の分析から、GhostPosterが金銭的動機と技術的成熟度を示す高度な能力を備えていることが明らかになっています。
このマルウェアはHTTPヘッダーを削除・注入して、Content Security Policy(CSP)やHTTP Strict Transport Security(HSTS)などのWebセキュリティポリシーを弱体化させ、さらなる悪用を可能にする脆弱性を作り出します。
キャンペーンの主要な収益化手段はアフィリエイトトラフィックのハイジャックで、正当な紹介手数料を攻撃者が管理するアカウントへリダイレクトします。
追加の不正機能として、クリック詐欺のためのiframeおよびスクリプト注入、閲覧セッションをまたいだユーザー追跡、高価値ターゲットを保護するセキュリティ機構を回避するためのプログラムによるCAPTCHA解読が含まれます。
Koi Securityが2025年12月に悪意あるFirefox拡張機能を詳細に記した公開を行った後、続く調査により、このキャンペーンの真の規模が明らかになりました。
インフラ分析により特定されたのは、Firefox、Chrome、Microsoft Edgeの各プラットフォームにわたり、同一の難読化パターン、C2の挙動、遅延実行戦略を共有する17個の拡張機能でした。
フォレンジック証拠は、この作戦が2020年という早い時期にMicrosoft Edge上で始まり、その後FirefoxとChromeへ拡大したことを示しています。
5年にわたる運用期間は、このキャンペーンが主要なブラウザ拡張機能ストアすべてのセキュリティ審査をすり抜けてきたことを示しており、現行の審査プロセスに重大なギャップがあることを浮き彫りにしています。
休眠期間
調査中に発見された高度な亜種は、脅威アクターの手法が継続的に進化していることを示しています。
特に高度な反復の一つでは、悪意あるロジックが拡張機能のバックグラウンドスクリプト内に埋め込まれており、同梱された画像ファイルを取得して、その生のバイト列を区切り文字(ASCII文字列「>>>>」)でスキャンします。このマーカー以降のすべてのデータはデコードされ、キー「instlogo」の下でchrome.storage.localに保存されます。
この二次ペイロードは、ネットワーク接続を確立する前に約5日間という延長された休眠期間を実装します。
起動すると、リモートサーバーからコンテンツを取得し、Base64エンコードされたデータを抽出して、デコードしたJavaScriptを動的に実行します。
この段階的な実行フローには大きな利点があります。より長い休眠期間は検知の可能性を低減し、モジュール型アーキテクチャはペイロード更新を可能にし、永続化メカニズムは部分的なテイクダウンにもかかわらず継続動作を保証します。
MozillaとMicrosoftは公式マーケットプレイスから確認済みの悪意ある拡張機能を削除しましたが、すでにユーザーのシステムにインストールされている拡張機能は、ユーザーが明示的に削除しない限り完全に動作し続けます。
この永続性の制約は、特に遅延起動とモジュール型ペイロード配信メカニズムを用いるマルウェアに対して、ストアレベルのテイクダウンが完全な封じ込め戦略として不十分であることを示しています。
ユーザーは直ちにインストール済みのブラウザ拡張機能を監査し、見覚えのないものや未使用のものを削除すべきです。またセキュリティチームは、許可リスト化と継続的監視を組み込んだブラウザ拡張機能管理ポリシーを実装し、異常な拡張機能の挙動を検知できるようにすべきです。
IOC
| ID | 名称 | インストール数 |
|---|---|---|
| maiackahflfnegibhinjhpbgeoldeklb | ページスクリーンショットクリッパー | 86 |
| kjkhljbbodkfgbfnhjfdchkjacdhmeaf | フルページスクリーンショット | 2,000 |
| ielbkcjohpgmjhoiadncabphkglejgih | すべてを変換 | 17,171 |
| obocpangfamkffjllmcfnieeoacoheda | Googleで選択テキストを翻訳 | 159,645 |
| dhnibdhcanplpdkcljgmfhbipehkgdkk | YouTubeダウンロード | 11,458 |
| gmciomcaholgmklbfangdjkneihfkddd | RSSフィード | 2,781 |
| fbobegkkdmmcnmoplkgdmfhdlkjfelnb | Ads Block Ultimate | 48,078 |
| onlofoccaenllpjmalbnilfacjmcfhfk | AdBlocker | 10,155 |
| bmmchpeggdipgcobjbkcjiifgjdaodng | カラーエンハンサー | 712 |
| knoibjinlbaolannjalfdjiloaadnknj | フローティングプレーヤー – PiPモード | 40,824 |
| jihipmfmicjjpbpmoceapfjmigmemfam | ワンキー翻訳 | 10,785 |
| ajbkmeegjnmaggkhmibgckapjkohajim | クールカーソル | 2,254 |
| fcoongackakfdmiincikmjgkedcgjkdp | 右クリックでGoogle翻訳 | 522,398 |
| fmchencccolmmgjmaahfhpglemdcjfll | 右クリックで選択テキストを翻訳 | 283 |
| amazon-price-history | Amazon価格履歴 | 1,197 |
| save-image-to-pinterest | 右クリックで画像をPinterestに保存 | 6,517 |
| instagram-downloading | Instagramダウンローダー | 3,807 |
翻訳元: https://gbhackers.com/ghostposter-malware/
