- ロシアのハッカーがGoogleストアのモデレーションを回避するChrome拡張機能サービスを販売
- 悪意あるアドオンが全画面iframeで正規サイトを偽装し、認証情報を窃取
- Varonisは防御のため、企業には厳格な許可リスト運用、消費者には拡張機能の監査を推奨
ロシアのハッカーが、他の犯罪者が正規のウェブサイトを偽装し、被害者をだましてログイン認証情報をさらけ出させたり、場合によっては不正な電信送金を行わせたりできるサービスを販売している。
「Stenli」(スタンリー)という別名の脅威アクターが最近、悪意あるChrome拡張機能が「Googleストアのモデレーションを通過」し、ブラウザのアドオンリポジトリに掲載されることを実質的に保証するサービスの提供を開始した。
しかし、これほど大きな約束には高額な代償も伴い、価格は2,000〜6,000ドルの範囲だ。
プッシュ通知が大量に
詳細な分析の中で、セキュリティ研究者のVaronisは、このアドオンが、正規サイトの上に全画面のiframeを被せ、用途に合わせて作り込まれたフィッシングコンテンツを表示することで機能すると説明した。
一方で、アドレスバーはそのまま残る。そのため、被害者はたとえばCoinbaseのような正規サイトにアクセスしているつもりでも、実際のサイトは全画面iframeの背後に隠され、Coinbaseを偽装した画面がログイン認証情報を盗み取る。
さらに悪いことに、このアドオンはプッシュ通知も送信できる。これらはChromeブラウザから直接送られているかのように表示され(技術的にはそのとおりだ)、手口の信ぴょう性をいっそう高め、攻撃の発見をさらに難しくする。
通常、サイバーセキュリティの専門家は、安全を確保するために信頼できる提供元からのみアドオンをインストールするよう助言する。だが、マルウェアをChromeウェブストアに紛れ込ませることを保証する仕組みがある以上、従来の助言は「不十分」だとVaronisは述べた。
代わりに、企業は厳格な許可リスト運用に注力すべきだという。「Chrome EnterpriseとEdge for Businessでは、管理者が明示的に承認したもの以外の拡張機能をすべてブロックできます。このアプローチは(承認済みリストの維持、新規リクエストの評価、例外対応など)運用負荷が増えますが、ストアのモデレーションをすり抜ける脅威を防げます。」
一方、消費者には、インストール済みの拡張機能を定期的に監査し、過度に使用していないものは削除することが推奨されている。権限要求に注意を払うこともマルウェアを見つける有効な方法で、「すべてのウェブサイト」や「閲覧履歴」へのアクセスを求める拡張機能は、徹底的に分析すべきだ。
