Chrome Extensions Infect 500K Users to Hijack VKontakte Accounts

概要

長期間にわたるChrome拡張機能のマルウェアキャンペーンが、静かにVKontakte (VK) アカウントを乗っ取り、ユーザーを攻撃者制御のグループに強制参加させ、設定を30日ごとにリセットし、VK自体のインフラストラクチャを利用してコマンド＆コントロールを行う。

このマルウェアキャンペーンは、「VK Styles Themes for vk.com」という名前の拡張機能から始まりました。この拡張機能は約40万回インストールされており、ユーザーからの評価も高かったものの、実際には単一の脅威アクターによって維持されているマルウェアプロジェクトでした。

研究者は、「VK Styles Themes for vk.com」拡張機能内で動的に計算されたYandexメトリックIDを発見しました。このIDは、スキャナーやレビュアーによる静的文字列ベースの検出を回避するために使用されていました。

このマルウェアは以下の5つの主要な悪意のある動作を行います：

自動参加： VKグループにユーザーを強制的に参加させ、攻撃者のコミュニティを成長させる。
30日リセット： ユーザーの設定を定期的にリセットし、継続的なコントロールを確保する。
CSRF保護Cookie操作： VKのセキュリティ制御であるCSRF保護Cookieを操作し、拡張機能からの要求がVKバックエンドに正当なものとして認識されるようにします。
寄付状況追跡： VK Donut APIを使用してユーザーの支払い状況に基づいて機能を制御する。
マルチステージアーキテクチャ： VKプロファイルメタデータとGitHubホストされたペイロードによって駆動され、攻撃者がリアルタイムで動作を更新できるようにします。

以下の拡張機能IDが関連しています：

元記事: https://gbhackers.com/chrome-extensions-infect-500k-users/