108個の悪意のあるChromeアドオンを含む大規模キャンペーンが発覚し、約20,000人のユーザーに影響を与えています。
ゲーム、ソーシャルメディアツール、翻訳ユーティリティなどのカテゴリに広がるこれらのアドオンは、正当なものに見えますが、秘密裏に機密データを収集しています。すべてが単一のコマンド・アンド・コントロール(C2)インフラストラクチャにリンクされており、オペレーターが盗まれた情報を一箇所に集約できるようになっています。
このキャンペーンは、Socketのセキュリティ研究者によって特定され、その範囲と調整の点で際立っています。5つの独立した開発者アイデンティティの下で公開されていますが、研究チームはすべてのアドオン全体で一貫したバックエンドシステムと共有された運用パターンを発見しました。
複数の攻撃手法
この研究は、同時にデプロイされた複数の明確な攻撃手法を明らかにしました。最も深刻なものの中には、15秒ごとにアクティブなウェブセッションをキャプチャするTelegram対応のアドオンがあり、パスワードや多要素認証(MFA)なしで完全なアカウントアクセスを可能にしています。
他のアドオンはOAuth2権限を使用してGoogleアカウントの詳細を収集したり、ブラウザセキュリティ保護を回避して広告を挿入したり、隠しバックドアを通じて任意のウェブページを開いたりします。多くはバックグラウンドで継続的に動作し、ユーザーが積極的に操作しなくても動作します。
-
Googleプロフィールデータを収集する54個のアドオン
-
ブラウザ起動時にトリガーされる永続的なバックドアを含む45個のアドオン
-
YouTubeやTikTokなどの人気プラットフォームにスクリプトまたは広告を挿入する複数のツール
-
攻撃者制御のサーバーを通じて翻訳プロキシとして機能する1つのアドオン
デュアルビヘイビアが検出を複雑にする
Socketによれば、これらのアドオンはゲームやメッセージングツールなどの宣伝されている機能を提供しながら、バックグラウンドで実行される悪意のある活動をマスキングしていることが多いです。このデュアルビヘイビアはユーザーにとって検出を難しくします。
ブラウザ拡張機能のセキュリティリスクについて詳しく読む:「プロンプトポーチング」ブラウザ拡張機能について専門家が警告
インフラストラクチャはまた、盗まれたデータとアクティブなセッションにサードパーティがアクセスできるマルウェア・アズ・ア・サービス(MaaS)モデルもサポートしています。研究者は共有クラウドリソース、再利用されたコード、重複するアカウント識別子を通じて、操作全体を単一のオペレーターにリンクさせました。
108個すべてのアドオンは発見時点でもまだ利用可能でした。適切なセキュリティチームに通知されており、削除リクエストが提出されています。
InfosecurityはコメントについてGoogleに連絡しましたが、まだ返答を受け取っていません。
画像クレジット:Mijansk786 / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/chrome-extensions-expose-user-data/
