はじめに – 新たな脅威「GhostPoster」の出現
Firefoxの拡張機能のロゴ画像に悪意のあるJavaScriptコードを隠蔽し、ユーザーのブラウザ活動を監視してバックドアを仕込む新たなサイバー攻撃キャンペーン「GhostPoster」が確認されました。この攻撃は、すでに5万回以上ダウンロードされている多数の拡張機能を標的としています。
この悪質なコードは、攻撃者にブラウザに対する永続的な高権限アクセスを許可し、アフィリエイトリンクのハイジャック、追跡コードの注入、クリック詐欺や広告詐欺を可能にします。
攻撃の手口と深刻な影響
隠されたスクリプトはローダーとして機能し、リモートサーバーからメインペイロードを取得します。検出を困難にするため、ペイロードは意図的に10回に1度しかダウンロードされないよう設計されています。Koi Securityの研究者たちによってGhostPosterキャンペーンが発見され、マルウェアローダーを抽出・実行するためにPNGロゴを読み取るか、攻撃者のサーバーからメインペイロードをダウンロードする17の悪質なFirefox拡張機能が特定されました。
研究者によると、当初、彼らのAIツールは「FreeVPN Forever」拡張機能がロゴ画像の生のバイトデータを解析し、ステガノグラフィ技術を用いて隠されたJavaScriptスニペットを抽出していることを検知しました。このJavaScriptローダーは48時間後にアクティブ化され、ハードコードされたドメインからペイロードをフェッチします。ペイロードの取得ができない場合は、バックアップドメインが利用されます。このローダーがペイロードを取得するのは全体のわずか10%に過ぎないため、トラフィック監視ツールによる検出を回避しやすいとされています。
ダウンロードされたペイロードは、ケーススワッピングとBase64エンコーディングによって高度に難読化されており、拡張機能のランタイムIDから派生したキーを用いてXOR暗号化されます。最終的なペイロードは以下の機能を持ちます:
- 主要なEコマースサイトのアフィリエイトリンクをハイジャックし、コミッションを攻撃者にリダイレクト。
- ユーザーが訪問するすべてのページにGoogle Analyticsトラッキングを注入。
- すべてのHTTPレスポンスからセキュリティヘッダーを削除。
- 3つの異なるメカニズムを介してCAPTCHAをバイパスし、ボット保護を回避。
- 広告詐欺、クリック詐欺、追跡のための不可視なiframeを注入し、15秒後に自己削除。
標的となった拡張機能のリスト
Koi Securityによって特定された、悪意のある動作が確認された拡張機能は以下の通りです。これらの拡張機能は、ペイロードの読み込みチェーンは異なるものの、すべて同じ動作とインフラストクチャを使用しているとのことです。
- free-vpn-forever
- screenshot-saved-easy
- weather-best-forecast
- crxmouse-gesture
- cache-fast-site-loader
- freemp3downloader
- google-translate-right-clicks
- google-traductor-esp
- world-wide-vpn
- dark-reader-for-ff
- translator-gbbd
- i-like-weather
- google-translate-pro-extension
- 翻訳-百度翻訳
- libretv-watch-free-videos
- ad-stop
- right-click-google-translate
ユーザーへの推奨事項と今後のリスク
このマルウェアは、現時点ではパスワードを収集したり、フィッシングページにリダイレクトしたりすることはありませんが、ユーザーのプライバシーを侵害する深刻な脅威となります。また、GhostPosterが採用するステルス性の高いローダーにより、攻撃者がさらに有害なペイロードを展開した場合、このキャンペーンは急速に危険性を増す可能性があります。
リストアップされた拡張機能を利用しているユーザーは、速やかにそれらを削除し、重要なアカウントのパスワードをリセットすることを検討してください。本稿執筆時点では、これらの悪質な拡張機能の多くが依然としてFirefoxのAdd-Onsページで入手可能でした。BleepingComputerはMozillaにコメントを求めていますが、直ちには回答が得られていません。