- Socketが108個の悪質なChrome拡張機能を発見、トークンとデータを盗用
- 拡張機能はGoogleアカウント情報を収集し、Telegramセッションをハイジャックし、バックドアを開く
- おそらくロシアのMaaS操作。20,000以上のインストール、まだWebストアで公開中
単一の脅威アクターが、認証トークンを盗み、人々のデバイスへのバックドアを確立するために、100以上の悪質なブラウザ拡張機能をGoogleの公式Chromeウェブストアに密輸入した可能性があります。
Googleのブラウザリポジトリを分析する中、セキュリティ研究機関Socket は108個の拡張機能を発見しました。これらは5つの異なるカテゴリに分けられています:Telegramサイドバークライアント、スロットマシンとKenoゲーム、YouTubeとTikTokエンハンサー、テキスト翻訳ツール、ブラウザユーティリティです。
表面的には、これらのすべてが意図どおりに機能していましたが、背景ではあらゆる種類の悪質なことを行っていました。
下記で記事を続ける
階層化システムと新しいお知らせ
たとえば、78個の拡張機能のクラスターが攻撃者制御HTMLをユーザーインターフェイスに注入しているのが確認され、一方54個の拡張機能はメール、名前、プロフィール写真、およびGoogleアカウントIDを収集していました。
彼らはまた、GoogleのOAuth2ベアラートークンを盗みました。3番目のグループの45個の拡張機能はバックドアとして機能し、C2インフラストラクチャからコマンドを取得し、任意のURLを開きます。いくつかの拡張機能はセキュリティヘッダーを削除し、YouTubeとTikTokに広告を注入しました。
ただし、最も危険な拡張機能は15秒ごとにTelegram Webセッションを盗み、ローカルストレージとTelegram Webのセッショントークンからデータを抽出しているのが確認されました。
拡張機能は5つの異なるプロファイルから公開されましたが、すべて同じコマンド・アンド・コントロールインフラストラクチャに接続されました。これはすべてが単一の脅威アクターの仕事であることを示唆しています。認証とセッション盗難のコードのコメントに基づいて、Socketはこれがロシアのマルウェア・アズ・ア・サービス(MaaS)操作である可能性が最も高いと結論付けました。ただし、キャンペーンを特定のアクターまたはクラスターに属性することはできませんでした。
一部のソースは、拡張機能は現在のところ少なくとも20,000回インストールされており、Socketの削除リクエストにもかかわらず、Googleはまだリポジトリから拡張機能を削除していないと述べています。これらのいずれかを使用している場合は、すぐにアンインストールすることが最善です。
もちろん、TikTokでTechRadarをフォローして、ニュース、レビュー、ビデオ形式のアンボックスを見ることができます。また、WhatsAppで私たちからの定期的な更新も受け取ることができます。
