出典:Shutterstock提供 Profit_Image
ロシアのサイバー犯罪フォーラムで作者が2,000〜6,000ドルで売り込んでいる新たなマルウェア・アズ・ア・サービス(MaaS)ツールキットは、ブラウザが企業のセキュリティチームにとって保護すべき新たなエンドポイントになっていることを示す最新例だ。
Varonisの研究者が「Stanley」と名付けたこのツールキットは、サイバー犯罪者が悪意あるChrome拡張機能を生成できるようにし、ユーザーが実在のWebサイトやソフトウェア・アズ・ア・サービス(SaaS)アプリを訪問した際のアクセスを横取りして、攻撃者が制御するフィッシングページを重ね合わせることができる。しかも、アドレスバーには正規のURLが表示されたままだ。
悪意ある拡張機能でもChrome Web Storeの承認を保証
ツールキットの購入者は、被害者の管理、偽装リダイレクトの設定、偽のブラウザ通知の送信を行うためのコマンド&コントロール(C2)パネルを入手できる。上位プランでは、Stanleyで作成したどのブラウザ拡張機能もChrome Web Storeの審査を通過することを保証するという。
「[Stanley]はGoogleの審査プロセスを回避する、ターンキー型の認証情報窃取ソリューションだ」と、Varonisの研究者Daniel Kelleyは最近のブログ投稿で書いている。このツールキットの価格設定は、単独の詐欺師にも組織犯罪グループにも同様に手が届くものであり、「BYODポリシー、SaaSファーストの環境、リモートワークが、ブラウザを新たなエンドポイントにした」ことを浮き彫りにしている、と彼は述べた。
このツールキットは、Notelyという一見無害なメモ取り・ブックマーク用のChrome拡張機能としてパッケージ化されている。被害者がこれをインストールすると、実際にメモ取りやブックマークの正当な機能が一部提供されるため、ユーザーが拡張機能に対して、実質的にユーザーのあらゆるWeb操作に割り込めるような権限を付与してしまいやすくなる。
その後、ユーザーが攻撃者にとって関心のあるWebサイト(銀行や暗号資産サイトなど)へ移動すると、拡張機能はその遷移を素早く乗っ取り、ユーザーが期待するページとまったく同じ見た目に偽装した全画面のiframeを重ね合わせる。一方でブラウザのアドレスバーには正規ドメインのURLが表示され続けるため、警戒心の強いユーザーでさえ安心して認証情報を入力してしまい、攻撃者はそれを素早く取得してリモートサーバへ送信する。
「コードを見る限り、実装は洗練されているというより機能重視だ」とKelleyは書いている。「手法(iframeのオーバーレイ、ヘッダーの除去、C2のポーリング)は十分に文書化されており、コードには粗い部分もある」と述べた。
Stanleyをさらに強力な脅威にしているのは、付随する「保証」だと彼は付け加えた。典型的な助言である「公式ストアからのみインストールする、レビューを確認する、認証バッジを探す」は、「悪意ある拡張機能がGoogleの審査を通過し、正規ツールと並んでChrome Web Storeに掲載されてしまう」状況では役に立たないという。
GoogleはDark Readingのコメント要請に直ちには回答しなかった。
拡大するブラウザ拡張機能のサイバー脅威
ブラウザおよびブラウザ拡張機能は、今日のソフトウェア・アズ・ア・サービス(SaaS)およびクラウドベースの業務環境において、脅威アクターにとってますます魅力的な攻撃ベクトルとなっている。ブラウザは多くのユーザーにとって主要な作業空間となり、SaaSプラットフォーム全体で認証、取引、特権操作を担っている。さらに拡張機能は、ユーザーのオンライン活動や機微なデータへ直接アクセスできる。脅威アクターが、ユーザーが付与しがちな(しばしば広範な)権限を悪用して悪意ある拡張機能を作成し、Webトラフィックの傍受、認証情報の窃取、フィッシングコンテンツの注入、その他の悪意ある活動を行うようになっているのも不思議ではない。最近登場したAI搭載のブラウザ拡張機能は、リスクをさらに高めている。
Keeper Securityの最高情報セキュリティ責任者(CISO)であるShane Barneyは、「Stanleyは、ブラウザベースの攻撃が成熟していることを示す有用な例だ。手法が新しいからではなく、攻撃者がどこで活動することを選ぶかによる」と述べる。「攻撃がその[オンライン]環境の内部だけで完結し、正規に見える拡張機能を用い、ユーザーが承認した権限で動作する場合、セキュリティチームがいまだに頼っている多くの前提をすり抜けてしまう。」
Stanleyがとりわけ厄介なのは、ユーザーがフィッシングコンテンツとやり取りしている間もURLが変わらない点であり、防御上の盲点を生み出す。「従来のエンドポイントおよびネットワークの制御は、マルウェアの実行や不審なトラフィックパターンを検知するよう設計されているのであって、ブラウザ自体がユーザーの見ているものを忠実に描画しているかどうかを疑うようにはできていない」とBarneyは言う。
Menlo SecurityのCISOであるLionel Littyは、Chromeが拡張機能の機能に関する情報を提示したり、特定の権限の付与を求めたりする際に、従業員が注意を払うことが重要だと述べる。企業のセキュリティチームは理想的には、拡張機能を信頼できる少数のものに許可リスト化すべきであり、特に強力な権限を持つ拡張機能についてはそうだ。また、過剰な権限を要求する拡張機能を検知して警告できる仕組みを整えるべきだという。それが現実的でない場合でも、従業員が使用している拡張機能を定期的に見直し、重要な権限を必要とするものを優先して確認するのがよい、とLittyは助言する。
「悪意ある拡張機能が存在する状況では、アドレスバーのURLを確認するという防御策はもはや機能しない」と彼は言う。「それどころか、フィッシング耐性のある要素(認証)でさえ同様だ。攻撃者はあなたのブラウザの中にいる。もはや認証情報を盗む必要はなく、ブラウザ内のコンテンツを読み取り、改変できるのだから。」
翻訳元: https://www.darkreading.com/remote-workforce/stanley-toolkit-chrome-undetectable-phishing
