サイバーセキュリティ企業Socketの報告によると、バックドアの提供、情報の盗難、または広告の注入を目的とした悪意のあるChromeエクステンションが20,000人以上のユーザーにインストールされました。
これらの悪意のあるエクステンションは、GameGen、InterAlt、SideGames、Rodeo Games、およびYana Projectという5つの異なるアカウントを使用して公開されていますが、共有されたコマンドアンドコントロール(C&C)インフラストラクチャに基づいて、単一の調整されたキャンペーンの一部と見られています。
Socketは、様々な種類の悪意のある活動を実行している108個のエクステンションを特定しました。その半分はOAuth2経由でGoogleアカウントを盗むように設計され、45個はブラウザ起動時に任意のURLを開くユニバーサルバックドアが注入されていました。
残りのエクステンションは、Telegramセッションを流出させたり、YouTubeとTikTokページに広告を注入したり、訪問したすべてのページにコンテンツスクリプトを注入したり、攻撃者が管理するサーバーを通じて翻訳要求をプロキシするために設計されました。
「108個のエクステンションは、複数の製品カテゴリ(Telegramサイドバークライアント、スロットマシンおよびKenoゲーム、YouTubeおよびTikTok拡張、テキスト翻訳ツール、ページユーティリティエクステンション)にわたって公開されています。それぞれ異なるタイプのユーザーをターゲットにしていますが、すべて同じバックエンドを共有しています」とSocketは述べています。
エクステンションは疑いを避けるために期待される機能を提供していますが、バックグラウンドで実行される悪意のあるコードは脅威アクターのC&Cに接続して悪意のある活動を実行します。
Socketは、アクティブなTelegram Webセッションを盗み、攻撃者が提供するデータでローカルストレージを上書きしてTelegramを強制的に再読み込みすることにより、ユーザーアカウントの乗っ取りを可能にするTelegramマルチアカウントエクステンションに注意を促しています。
別のエクステンション「Web Client for Telegram – Teleside」はセッションを盗むことができ、Chrome Web Storeを通じてアプリケーションを更新することなく、オペレーターがペイロードを直接アクティブ化できるバックグラウンドスクリプトのバックドアを備えています。
ログイン時にユーザーのGoogleアカウントを盗むことができる54個のエクステンションには、Google OAuth2ベアラートークンを取得し、ユーザー情報をフェッチし、データをリモートサーバーに送信するための同一のコードが含まれています。
「OAuthトークンはローカルで使用され、ブラウザから離れることはありません。オペレーターのサーバーに到達するのは、被害者のメール、名前、プロフィール写真だけです」とSocketは説明しています。
45個のエクステンションのバックグラウンドスクリプトには、ブラウザ起動時にC&Cから受け取ったURLを新しいタブで開く同一の機能が含まれています。
「サーバーが返すURLに制限はありません。このチャネルはブラウザの再起動を乗り越え、ユーザーがエクステンションを開くかどうかに関係なく独立して動作します」とSocketは指摘しています。
サイバーセキュリティ企業は、すべての悪意のあるエクステンションを報告したと述べていますが、それらはChrome Web Storeからすぐには削除されませんでした。
翻訳元: https://www.securityweek.com/100-chrome-extensions-steal-user-data-open-backdoor/
