かつて信頼されていた数千人のユーザーを持つChrome拡張機能は、マルウェア配布の手段に静かに変換され、ブラウザアドオンがいかに迅速にセキュリティリスクになるかを露呈しました。
QuickLens – Search Screen with Google Lensは、研究者がClickFix攻撃を展開し、暗号通貨ウォレットデータを盗むために更新されていることを発見した後、Chrome Webストアから削除されました。
「すべてのページ、フレーム、リクエストについて、セキュリティヘッダーは今は消えています。ユーザートラフィックはクリックジャッキングのような多くの新しい攻撃に対して脆弱になっています」と述べたAnnexの研究者。
悪意のあるChrome拡張機能の更新の内部
ブラウザ拡張機能は、Webトラフィック、ページコンテンツ、および認証されたユーザーセッションへの広範なアクセス権で動作します。
QuickLensの場合、拡張機能は約7,000人のユーザーを持ち、以前はChrome Webストアで注目バッジを保持していました。
2026年2月初旬に報告された所有権の変更の後、2026年2月17日にユーザーに悪意のある更新がプッシュされました。
その更新では拡張されたアクセス許可とコマンド&コントロール(C2)機能が導入され、正当なツールがマルウェア配布メカニズムに効果的に変換されました。
信頼されたChrome拡張機能からマルウェアローダーへ
侵害されたバージョンは、declarativeNetRequestWithHostAccessとwebRequestを含む新しいアクセス許可をリクエストしました。これらは、閲覧活動とネットワークリクエストに対するより深い制御を許可しました。
また、すべての訪問したページからContent-Security-Policy(CSP)、X-Frame-Options、X-XSS-Protectionなどのキーブラウザセキュリティヘッダーを削除したrules.json構成も含まれていました。
これらのヘッダーは、スクリプトインジェクションおよびクリックジャッキング攻撃を防ぐために設計されています。これらを削除することで、拡張機能はブラウザの組み込み防御を弱め、通常は保護されているWebサイト全体で悪意のあるスクリプトの実行を可能にしました。
コマンド&コントロールとペイロード実行
アクティブになると、拡張機能はapi.extensionanalyticspro[.]topのC2サーバーとの通信を開始しました。
被害者を追跡するための永続的なUUIDを生成し、Cloudflareのトレースエンドポイントを使用してユーザーの国を指紋認証し、ブラウザおよびオペレーティングシステムの詳細を識別し、5分ごとにC2インフラストラクチャをポーリングして指示を取得しました。
悪意のあるJavaScriptペイロードが応答で配信され、研究者が「1×1 GIF ピクセルonloadトリック」と説明した方法を使用してすべてのページロードで実行されました。
CSP保護が削除されていたため、これらのインラインスクリプトは正常に実行されました。これは、通常そのような動作をブロックするサイトでも同様です。
ClickFixマルウェアと暗号通貨盗難
配信されたペイロードの1つは、ClickFix攻撃を開始するために設計された偽のGoogle更新プロンプトを表示しました。
更新をクリックしたWindows ユーザーには、Hubei Da’e Zhidao Food Technology Co., Ltdに属する証明書で署名されたgoogleupdate.exeという名前のファイルをダウンロードするように促されました。
実行されると、ファイルは2番目のPowerShellインスタンスを生成した隠しPowerShellコマンドを起動しました。
このセカンダリプロセスは、カスタムユーザーエージェントを使用してリモートサーバーから追加の指示を取得し、レスポンスをInvoke-Expressionにパイプして、被害者のマシン上で直接リモートコード実行を可能にしました。
並行して、他の悪意のあるスクリプトは、MetaMask、Phantom、Coinbase Wallet、Trust Wallet、Solflare、Brave Walletなど、暗号通貨ウォレットをターゲットにしました。
検出された場合、拡張機能はウォレット活動データとシードフレーズを抽出しようとしました。これはウォレットの制御を取得して資金を転送するために攻撃者を許可する情報です。
追加のペイロードは、GmailインボックスコンテンツFacebook Business Manager広告アカウント、YouTubeチャネルデータをスクレイピングし、Webフォームに入力されたログイン資格情報と支払い情報を収集しました。
一部のレポートでは、AMOSインフォスティーラーでmacOS ユーザーをターゲットにしている可能性も示唆されていますが、その活動の独立した確認は限定的でした。
悪意のある動作が開示された後、Googleはクイックレンズをchrome Webストアから削除し、影響を受けたブラウザで自動的に無効にしました。
ブラウザ拡張機能リスクを軽減する方法
ブラウザ拡張機能は現代的なワークフローの不可欠な部分になっています。ただし、これらはエンタープライズ内の急速に拡大する攻撃面も表しています。
最近のキャンペーンが示したように、悪意のあるまたは侵害された拡張機能は従来のペリメータ防御をバイパスでき、信頼されたブラウザセッション内で直接動作できます。
これらの脅威はしばしばCVEではなく正当な機能に依存しているため、組織はリスクを低減するための多層的なポリシー駆動型アプローチを採用する必要があります。
- ブラウザ拡張機能のインストールを一元管理および制限することをChrome エンタープライズポリシーを使用して行い、承認された拡張機能のみを許可し、過度なまたは新しくリクエストされたアクセス許可をブロックします。
- インストールされた拡張機能を定期的に監査し、所有権の変更またはアクセス許可の拡張を監視し、不要または古いアドオンを削除します。
- 監視する疑わしいブラウザ動作について、予期しないアウトバウンド接続、繰り返しのビーコニング、ヘッダー操作、およびwebRequestやdeclarativeNetRequestWithHostAccessなどのハイリスクアクセス許可の使用を含みます。
- 最小権限と フィッシング耐性多要素認証を実装して、認証情報の盗難と侵害後の横展開の影響を低減します。
- エンドポイント保護をデプロイし、ブラウザ分離、およびデータ損失防止コントロールをデプロイして、認証情報の収集、ウォレットの流出、および悪意のあるスクリプト実行を検出および防止します。
- 影響を受けたユーザーに侵害された拡張機能を完全に削除し、保存された認証情報をリセットし、暗号通貨資産を新しく生成されたウォレットに転送させ、新しいシードフレーズを使用してください。
- セキュリティコントロールを継続的に検証し、テーブルトップ演習または侵害および攻撃シミュレーションを通じたインシデント対応計画をテストして、ブラウザベースのサプライチェーン攻撃に対するテストを実施します。
これらのコントロールを組み合わせることで、侵害された拡張機能の影響範囲を制限しながら、進化するブラウザベースのサプライチェーン脅威に対する組織の回復力を強化するのに役立ちます。
攻撃面としてのブラウザ拡張機能
QuickLensインシデントは、正当なブラウザ拡張機能がいかに迅速にセキュリティリスクになるかを強調しています。
脅威アクターが更新メカニズムと拡張されたアクセス許可を悪用し続けるため、組織はブラウザ拡張機能を、事後考慮ではなく、全体的な攻撃面の管理されたコンポーネントとして扱う必要があります。
このようなインシデントは、組織に環境内の暗黙的な信頼を再評価させ、ユーザー、デバイス、および活動を継続的に検証するゼロトラストソリューションを採用するよう促しています。
翻訳元: https://www.esecurityplanet.com/threats/chrome-extension-hijacked-to-push-clickfix-malware/
