5つの悪質なChrome拡張機能がカスタマイズツールを装い、50万以上のVKontakteアカウントをハイジャックするマルウェアキャンペーン。
2025年6月から活動している攻撃は、VKプロフィールとGitHubでホストされるマルチステージペイロードを使用して検出を回避し、ユーザーアカウントを操作しています。この高度な活動は、ブラウザ拡張機能マーケットプレイスにおける増加するリスクを強調しています。
主な更新には、6月のCSRF操作、12月の自動購読と30日リセット、1月のVK Donut APIを介した収益化、およびIntersectionObserverコードの削除などのステルス改善が含まれています。
合計:502,000人以上の被害者、主に東ヨーロッパ、中央アジア、ディアスポラのロシア語話者。1つの拡張機能は2024年に削除されましたが、攻撃者はIDにシフト。自動更新により即座にペイロードをプッシュできます。
数千のユーザーが強制購読、リセット、トークン変更、および収益化に直面しており、彼らのアカウントをC2ノードに変えています。
このキャンペーンはソーシャルプラットフォーム、C2、自己伝播、購読収益化、定期的な永続性、および動的ペイロードなどのトレンドを示しています。
ブラウザ拡張機能の高い権限と自動更新により、それらは主要なベクトルになります。Koiなどのツールはそれらを統制することを目指しています。ユーザーは疑わしい拡張機能を削除し、VKグループを監視する必要があります。詳細についてはKoiのブログをお読みください。
翻訳元: https://cyberpress.org/chrome-extensions-hijack-500k-accounts/
ソース: cyberpress.org