- Koi Securityが、Chrome拡張機能を介して50万以上のVKontakteアカウントをハイジャックするマルウェアキャンペーンを発見
- アドオンは被害者を攻撃者のVKグループ(140万メンバー)に自動登録し、CSRFトークンを操作し、広告を注入し、支払い情報を盗んだ
- 2025年半ばから継続中のキャンペーン。脅威アクター「2vk」による維持管理。主にロシア語使用者を標的
50万以上のVKontakteアカウントが、Googleの Chromeウェブストアから発生したマルウェアキャンペーンでハイジャックされました。
このキャンペーンはKoi Securityの研究者によって発見され、プラットフォームの拡張機能として宣伝された5つの拡張機能が含まれていました。
これらのアドオンは合計で50万回以上インストールされ、発見後、少なくとも1つはChromeウェブストアから削除されました。Koiは、すべてがGitHubのエイリアス「2vk」を持つ単一の脅威アクターによって維持管理されていたと述べています。
攻撃者にとってのメリットは?
VKontakteは本質的に「ロシア版Facebook」です。Facebookに非常によく似たソーシャルネットワークで、約6億5000万人のユーザーを持っています。
研究者がYandex広告コードを検索している際に、5つの拡張機能を発見しました。これらは表面的には、ソーシャルプラットフォームのテーマを変更し、ユーザー体験を向上させることができるものでした。
しかし、バックグラウンドでは、マルウェアはユーザーを攻撃者のVKグループ(現在140万メンバー)に自動登録し、30日ごとにアカウント設定をリセットしてユーザー設定を上書きし、CSRFトークンを操作してVKのセキュリティ保護をバイパスし、寄付ステータスを追跡して機能をゲート化し、被害者を収益化し、複数段階のコード注入を通じて永続的な制御を維持しています。
同じグループに140万人がいることのメリットは多数あり、また彼らのCSRF cookie と支払い情報にアクセスできることのメリットもあります。まず第一に、アドオンの認識された正当性が向上し、広告とより多くのマルウェアを配信することができます。拡張機能の1つは、ユーザーが開くすべてのページにYandex広告スクリプトを注入していたため、攻撃者に直接的な経済的利益をもたらしました。
また、CSRF(クロスサイトリクエストフォージェリ)cookieを操作することで、ハッカーはパスワードなしで被害者になりすまして操作を実行できます。メッセージの送信、プライベートデータへのアクセス、さらには回復メールの変更もできます。
最後に、マルウェアは「プレミアム機能」の「寄付」を追跡するシステムを含みます。アドオンは無料ですが、有料の「プロ」バージョンが付属しています。こうして、被害者はクレジットカード情報を失いながら、引き続き危険にさらされます。
このキャンペーンはおそらく2025年半ばに始まり、今日まで継続しています。主にロシア語話者を標的としていますが、被害者は東ヨーロッパ、中央アジア、およびその他の地域で確認されています。
