広範なブラウザ拡張キャンペーンが、データ盗取ツールをTikTokビデオダウンローダーに偽装して、静かにユーザーを侵害しています。
「多くの人はブラウザ拡張を無害な小さなウィジェットと見なしていますが、往々にしてこれらの拡張の背後に誰がいるのか、また、そのソースコード内にどのような機能が含まれているのか全く知りません」とLayerXのセキュリティ研究者であるナタリー・ザルガロフがeSecurityPlanetへのメールで述べています。
彼女は、「これが、ユーザーと企業がインストールする拡張機能に警戒する必要がある理由です。彼らの機密データが盗まれないようにするためです」と付け加えました。
StealTok拡張キャンペーンの内部
このキャンペーンは、企業セキュリティにおける急速に拡大する盲点を浮き彫りにしています。インストール時には正当に見えるが、ユーザーの信頼を得た後も長期間にわたって活発な脅威に進化するブラウザ拡張です。
LayerXの研究者によると、すでに13万人以上のユーザーが影響を受けており、数千のインストールがまだ活動しています。
これらの拡張機能はChromeやEdgeなどの信頼できるマーケットプレイスから提供されており、時には「特集」としてリストされているため、ユーザーの懐疑心と基本的なセキュリティコントロールをしばしばバイパスします。
悪意のある拡張がどのように信頼を構築したか
LayerXの研究によると、キャンペーンには少なくとも12個の関連拡張機能が関与していました。
それらは個別のツールのように見えていましたが、すべて共通のコードベースを共有し、TikTokビデオダウンローダーとしてマーケティングされていました。
表面上、ユーザーが期待していた通りのことを提供していました。ビデオをダウンロードし、多くの場合ウォーターマークなしで、これが信頼性を構築し、低いプロファイルを維持するのに役立ちました。
この正当な機能は、早期の検出を回避し、広範な採用を獲得する上で重要な役割を果たしました。
隠蔽された動作とリモート制御機能
しかし、舞台裏では、これらの拡張機能は大きく異なって動作していました。隠蔽されたトラッキング機構を組み込み、攻撃者が制御するリモート設定サーバーを活用していました。
この機能により、脅威行為者はインストール後に拡張機能の動作を動的に変更できました。新機能の有効化、データ収集の拡張、またはトラフィックのリダイレクトです。公式の拡張ストアを通じた更新を必要とせずに。
このようにして、彼らはマーケットプレイスのレビュープロセスを事実上バイパスし、ユーザーとプラットフォームオペレーターの両方から悪意のある活動を隠していました。
拡張セキュリティモデルの体系的な弱点
本質的に、これはブラウザ拡張機能がどのように信頼され、管理されるかについての体系的な弱点です。
拡張機能はしばしば広範なアクセス許可をリクエストし、ブラウザ内で実行されて、機密データ、セッショントークン、ユーザーアクティビティを公開します。これらのアクセスは、付与されると監視または制限するのが難しいことが多いです。
遅延アクティベーションと回避技術
キャンペーンが遅延機能インジェクションを使用することで、検出がさらに複雑になります。
拡張機能の多くは6~12ヶ月間正常に動作し、より侵襲的な機能を導入する前に評判を構築し、ユーザーを蓄積することができました。
この遅延アクティベーションモデルにより、マーケットプレイスのレビュー担当者とセキュリティツールの両方が、初期分析時に悪意のある意図を特定することが難しくなります。
動作の操作に加えて、拡張機能はデバイスの特性、使用パターン、言語設定、さらにはバッテリー状態を含む高エントロピーのフィンガープリントデータを収集していました。
これを組み合わせると、このデータはセッション全体、さらには複数のサービス全体でのユーザーの永続的な追跡を可能にします。
ブラウザ拡張リスクの軽減
ブラウザ拡張機能は適切に管理されていない場合、ユーザーアクティビティと機密データへのアクセスをしばしば持つため、セキュリティリスクをもたらす可能性があります。
これらのリスクの管理には、アクセス許可の制限、動作の監視、および不要なデータ公開の削減に対する焦点を絞ったアプローチが必要です。
- アロウリストを実施することで、ブラウザ拡張機能を制限および制御し、高リスクカテゴリを制限し、インストール済み拡張機能を定期的に監査してください。
- 拡張機能のアクセス許可を最小化して最小権限の原則を適用し、必要なドメインとデータのみへのアクセスを制限してください。
- 継続的に拡張機能の動作を監視し、ネットワークアクティビティを監視して、予期しないアウトバウンド接続やアクセス許可の変更を含む異常を検出してください。
- ブラウザの分離、セグメンテーション、または個別プロファイルを実装して、拡張機能が機密システムとセッションへのアクセスを防いでください。
- ブラウザテレメトリをSIEMまたはXDRツールに統合することで、検出と対応を強化してください。
- データ損失防止コントロールを実施することでデータ公開を制限し、機密情報と認証されたセッションへの拡張アクセスを制限してください。
- インシデント対応計画をテストし、攻撃シミュレーションツールを使用して、悪意のある拡張機能とデータ流出に関するシナリオで使用してください。
これらの実践は、拡張機能関連のリスクへの不要な露出を削減しながら、組織が回復力を構築するのに役立ちます。
ワンタイムマルウェアを超えたシフト
StealTokキャンペーンは、攻撃者がアクセスを維持する方法のシフトを浮き彫りにしており、ワンタイムマルウェアを超えて、信頼されるプラットフォームを活用するより永続的な方法へのシフトを示しています。
ブラウザ拡張機能は、ユーザーのセッション内で動作し、いくつかの従来のセキュリティチェックをバイパスできるため、このコンテキストで特に魅力的です。
マーケットプレイスのレビューは初期承認に焦点を当てる傾向がありますが、このケースはインストール後の更新と動作の変化を通じて時間とともにリスクがどのように発展するかを示しています。
これらの課題は、ゼロトラストを使用する必要性を強化します。これはアクセスを継続的に検証し、固有の信頼がないことを保証するのに役立ちます。
