概要:ShadyPandaキャンペーンの脅威
「ShadyPanda」として知られる長期間にわたるマルウェア作戦が、430万件を超えるChromeおよびEdgeブラウザ拡張機能のインストールを集めています。一見すると正規のツールに見えるこれらの拡張機能は、段階的に悪意のある機能を追加し、最終的にスパイウェアへと進化しました。Koi Securityによって発見されたこのキャンペーンは、現在もMicrosoft Edgeのアドオンプラットフォームで活動を続けており、特に1つの拡張機能が300万件のインストールを記録していると報じられています。
キャンペーンの変遷と悪意ある機能
ShadyPandaキャンペーンの最初の拡張機能は2018年に提出されましたが、悪意のある活動が確認されたのは2023年になってからです。当初は壁紙や生産性ツールを装い、以下の活動を行っていました:
- アフィリエイト詐欺: eBay、Booking.com、Amazonの追跡コードを正規のリンクに注入し、ユーザーの購入から収益を得ていました。
2024年初頭には、さらに大胆な動きが見られました。「Infinity V+」という拡張機能が検索ハイジャックを開始し、検索クエリを「trovi[.]com」にリダイレクトしたり、ユーザーのクッキーや検索クエリを外部サーバーに送信したりしていました。
バックドア機能とリモートコード実行
さらに2024年には、ShadyPandaキャンペーンはより高度な脅威に発展しました。2018年および2019年に公開され、すでに高い評価を得ていた5つの拡張機能が、アップデートを通じて「バックドア」機能を組み込むよう変更されたのです。このバックドアは、リモートコード実行(RCE)を可能にするものでした。
- RCEのメカニズム: 感染したブラウザは1時間ごとに「api.extensionplay[.]com」にアクセスし、新しい指示をダウンロードして任意のJavaScriptを実行します。これにより、完全なブラウザAPIアクセスが可能になります。Koi Securityはこれを「固定機能を持つマルウェアではなく、バックドアだ」と説明しています。
このバックドアは、閲覧履歴、フィンガープリント情報、永続的な識別子を暗号化して外部サーバーに送信する機能も持っていました。特に「Clean Master」というChrome拡張機能は、悪意が検出された時点で20万件のインストールがありました。
現在進行中の脅威:Microsoft Edgeでのスパイウェア活動
キャンペーンの第4フェーズは現在も進行中で、’Starlab Technology’によって2023年に公開された5つのMicrosoft Edge拡張機能が関与しています。これらの拡張機能は、すでに400万件のインストールを達成しており、以下のデータを収集し、中国の17のドメインに送信していることが判明しています:
- 閲覧履歴
- 検索クエリおよびキー入力
- マウスのクリック座標
- フィンガープリントデータ
- ローカル/セッションストレージおよびクッキー
これらのスパイウェア拡張機能は、以前のバックドアと同様のRCE機能を将来のアップデートで提供する可能性も指摘されています。
推奨される対策
Googleは一部の悪質な拡張機能をWeb Storeから削除しましたが、Microsoft Edgeアドオンストアには依然として活動中のものが存在します。ユーザーは、ShadyPandaに関連する拡張機能を確認し、直ちに削除することが強く推奨されます。また、オンラインアカウントのパスワードをリセットすることも重要です。