- LayerXが悪意のあるブラウザ拡張機能17件を発見、ダウンロード数は84万回超
- 拡張機能はアフィリエイトリンクを乗っ取り、トラッキングを注入し、広告詐欺を可能にしていた
- すべての拡張機能は削除されたが、ユーザーは手動でアンインストールする必要がある
セキュリティ研究者のLayerXは、Chrome、Firefox、Edge向けの拡張機能17件を発見した。これらは人々のインターネット活動を監視し、継続的なアクセスのためのバックドアをインストールしていた。合計で、これらの拡張機能は84万回以上ダウンロードされていた。
これは新しいキャンペーンではない。実際、LayerXは、これは2025年12月中旬にKoi Securityが最初に発見したキャンペーンGhostPosterの継続だと主張している。
当時、調査担当者は別の17件の拡張機能を見つけており、累計ダウンロード数は5万回で、同じこと――行動の監視とバックドアのインストール――を行っていた。
GhostPoster
発見された拡張機能の全リストは以下のとおり:
右クリックでGoogle翻訳
GoogleAds Block Ultimateで選択テキストを翻訳
フローティングプレーヤー – PiPモード
あらゆるものを変換
Youtubeダウンロード
ワンキー翻訳
AdBlocker
右クリックで画像をPinterestに保存
Instagramダウンローダー
RSSフィード
クールカーソル
全ページスクリーンショット
Amazon価格履歴
カラーエンハンサー
右クリックで選択テキストを翻訳
ページスクリーンショットクリッパー
この新たな一群には、2020年に初めてアップロードされた拡張機能も含まれており、つまり人々は公式のブラウザリポジトリ上で何年にもわたりマルウェアにさらされてきたことになる。Edgeのストアが、これらの拡張機能の多くが最初に登場した場所のようで、その後ChromeやFirefoxにも拡大した。
一部の拡張機能は、PNGロゴ内に悪意のあるJavaScriptコードを保存している。このコードは、リモートサーバーから主要ペイロードをダウンロードする方法に関する指示として機能する。検知と帰属をより困難にするため、攻撃者は拡張機能が主要ペイロードをダウンロードするのを10%の確率にしていた。
主要ペイロードはさまざまなことができる。何よりもまず、大手ECサイトのアフィリエイトリンクを乗っ取り、コンテンツクリエイターから直接金銭を奪う。
次に、ユーザーが訪れるすべてのページにGoogle Analyticsのトラッキングを注入し、すべてのHTTPレスポンスからセキュリティヘッダーを取り除く。
最後に、3つの別々の仕組みでCAPTCHAを回避でき、主に広告詐欺、クリック詐欺、トラッキングに使われる不可視のiframeを注入できる。これらのiframeはおよそ15秒後に自壊する。
その間に、すべての拡張機能はそれぞれのリポジトリから削除されたが、ユーザーには引き続きブラウザから削除することが推奨されている。
