TokyoBlackHatNews

cyberpress.org 4分で読了

GhostPosterマルウェアキャンペーン、17の悪意ある拡張機能でChromeユーザーを標的に

「GhostPoster」と呼ばれる高度なマルウェアキャンペーンが主要なブラウザ拡張機能ストアに侵入し、4年以上にわたって検知を回避していた17の悪意ある拡張機能を通じて、Chrome、Firefox、Edgeのユーザー84万人以上が侵害されました。

セキュリティ研究者は、ステガノグラフィ、遅延実行、モジュール式ペイロード配信を用いて永続性を維持しつつ、アフィリエイト詐欺やクリック操作で収益を生み出す複雑な多段階感染チェーンを特定したことで、この作戦を突き止めました。

GhostPosterマルウェアは、初期ペイロード配信メカニズムにおいて高度なオペレーショナル・セキュリティを示しています。

従来型のスクリプト注入を用いるのではなく、脅威アクターは拡張機能のアイコンファイル(通常はPNG画像)のバイナリデータ内に悪意あるコードを埋め込みます。

ユーザーが広告ブロッカー、スクリーンショットツール、言語翻訳など、一見正規のブラウザユーティリティをインストールすると、拡張機能は実行時に画像ファイルから隠されたバイトコードを抽出します。

この抽出プロセスは、ASCII文字列「>>>>」として表される特定のバイト区切りを検索し、その後に続くすべてのデータを実行可能なJavaScriptとしてデコードします。

この手法により、悪意あるペイロードが無害に見える画像メタデータとして存在するため、従来のコードパスのみをスキャンする静的解析ツールを効果的に回避できます。

遅延実行は、もう一つの重要な回避戦略です。マルウェアは、コマンド&コントロール通信を開始する前に、48時間から5日間に及ぶ必須の待機期間を実装しています。

この休眠対策のための行動検知システムは、インストール直後の即時ネットワーク活動をフラグ付けします。

起動すると、抽出されたローダーがリモートサーバーに接続し、マルウェアの中核機能を有効化する追加のJavaScriptモジュールを取得します。

これらの機能には、Content Security PolicyやHTTP Strict Transport Securityといったセキュリティヘッダーの除去、金銭的利益のためのアフィリエイトマーケティングトラフィックの乗っ取り、クリック詐欺のための不正なiframeの注入、CAPTCHAチャレンジのプログラムによる解決、そして長期的な監視のためのユーザー閲覧パターンの追跡が含まれます。

このキャンペーンのインフラは、体系的なクロスプラットフォーム配布を示しています。Koi Securityの研究者は悪意あるネットワークを、確認済みの17の拡張機能に追跡し、脅威アクターが2020年にMicrosoft Edgeユーザーを最初に標的とした後、FirefoxとChromeへ拡大したことを突き止めました。

これらの拡張機能は合計で84万件のインストールを集め、最も蔓延した亜種である「Google Translate in Right Click」は、Chromeユーザーだけで522,398人を感染させました。

他の影響の大きい拡張機能には、「Translate Selected Text with Google」(159,645件)、「Floating Player  PiP Mode」(40,824件)、「Ads Block Ultimate」(48,078件)が含まれ、攻撃者が幅広い需要のあるユーティリティを好むことが示されています。

LayerX Securityの調査で発見された、より高度な亜種は、強化されたモジュール性を示しました。

このバージョンは、同じPNGのステガノグラフィ手法を用い、ペイロードをコンテンツスクリプトではなく拡張機能のバックグラウンドスクリプト内に埋め込み、デコードしたペイロードを難読化されたキーの下でブラウザのローカルストレージに保存していました。

5日間の起動遅延と、リモートサーバーから更新されたペイロードを取得できる能力は、自動スキャンと手動の削除対応の双方に対して長期的な耐性を狙って設計された、成熟した運用フレームワークを示しています。

MozillaとMicrosoftによるストアからの削除対応は、マルウェアの永続化メカニズムのため、実効性は部分的にとどまります。

ユーザーのシステムにすでにインストールされている拡張機能は、手動でアンインストールしない限り有効なままであり、継続的なセキュリティギャップを生みます。

この制約は、ブラウザ拡張機能のセキュリティにおける根本的な課題を浮き彫りにします。すなわち、事後的な削除対応では、すでに展開された脅威を遡って無力化できません。

セキュリティチームは、管理下の環境においてインストール済み拡張機能を監査し、特に組織のポリシー管理の範囲外にあるものを重点的に確認すべきです。

不正なネットワーク活動や疑わしいDOM操作を検知できる行動ベースの監視ソリューションは、同様の脅威に対する不可欠な防御層となります。

GhostPosterキャンペーンは、ブラウザ拡張機能のエコシステムが、急速な拡散よりもステルス性と永続性を優先する高度な脅威アクターにとって、依然として有効な攻撃ベクトルであることを強く示す警鐘となっています。

翻訳元: https://cyberpress.org/ghostposter-malware-chrome-malicious-extensions/

ソース: cyberpress.org
#Chrome #Firefox #GhostPoster #Microsoft Edge #アフィリエイト不正 #クリック詐欺 #サイバーセキュリティ #ステガノグラフィ #ブラウザ拡張機能 #マルウェア

関連記事

ロシア、政府高官のスマートフォンに外国製スパイウェアを発見

Claude Code GitHub Actionsの脆弱性によりリポジトリ侵害が可能に

KMW CCTVの深刻な脆弱性、未認証でのカメラアクセスを可能に