ブラウザ拡張機能による長期的な脅威
Koiの研究者たちにより、ShadyPandaと名付けられた脅威アクターによる7年間にわたる悪質なブラウザ拡張機能の運用が明らかになりました。このキャンペーンにより、世界中の少なくとも430万人のChromeおよびEdgeユーザーが密かに侵害されていたとのことです。ShadyPandaは、一見正当に見える拡張機能を悪用し、長期的な監視およびリモートアクセスプラットフォームへと変貌させていました。
Koiの調査では、現在も同じアクターに関連する2つのキャンペーンが進行中であることが判明しています。一つは、30万ユーザー規模のリモートコード実行(RCE)バックドアが、Googleによって「おすすめ」および「確認済み」とされていた「Clean Master」を含む5つの悪用された拡張機能で現在も活動中です。これらの拡張機能は長年正当に運営された後、2024年半ばにサイレントアップデートを介して悪質化されました。これらは現在、攻撃者インフラと1時間ごとに通信し、任意のJavaScriptをダウンロードして、完全なブラウザAPIアクセス権限で実行しています。マルウェアは、訪問されたすべてのサイトを監視し、暗号化された閲覧履歴を流出させ、長期追跡のために詳細なブラウザフィンガープリントを収集します。
並行して、400万ユーザー規模のスパイウェア運用が、同じエンティティによってMicrosoft Edgeに公開されたさらに5つの拡張機能を介して実行されています。その代表格である「WeTab 新标签页」(WeTab New Tab Page)は、単独で300万インストールを誇り、すべてのURL、検索クエリ、マウスクリックを記録し、そのデータを中国のサーバーネットワークに送信しています。これらの拡張機能はEdgeマーケットプレイスに現存しており、新規被害者を獲得し続けています。
手口の進化:アフィリエイト詐欺からブラウザ完全掌握へ
ShadyPandaの攻撃手口は、複数のフェーズを経て進化してきました。2023年の「Wallpaper Hustle」キャンペーンでは、アクターは「nuggetsno15」や「rocket Zhang」といったパブリッシャーのもとで、壁紙や生産性ツールを装った145の拡張機能をChromeとEdgeに展開しました。これらは露骨なマルウェアではなく、eBay、Amazon、Booking.comなどのサイトへの訪問にアフィリエイトコードを密かに挿入し、Google Analyticsトラッキングを組み合わせて、すべての訪問、クエリ、クリックパターンを収益化していました。
このキャンペーンを通じて、ShadyPandaは3つの教訓を得ました:レビューは提出時に集中する、ユーザーは高いインストール数を信頼する、そして忍耐力のある拡張機能は削除されるまでに数ヶ月間動作し続けることができる、というものです。2024年初頭には、グループは検索ハイジャックとクッキー流出へとエスカレートしました。「Infinity V+」拡張機能は、すべての検索を既知のハイジャッカーであるtrovi.com経由でリダイレクトし、特定のドメインからクッキーを収集して永続的な識別子を構築し、ユーザーがEnterキーを押す前に検索ボックスからのキーストロークを外部サーバーにストリーミングしていました。部分的なクエリ、タイプミス、修正のすべてが暗号化されていないHTTP経由でキャプチャされ、ユーザーの意図を深くプロファイリングすることが可能でした。
長期戦略:Clean Masterとその後
ShadyPandaの最も危険な転換点は、フェーズ3の「The Long Game」で訪れました。2018年から2019年にかけてアップロードされた3つの拡張機能は、「Clean Master」を含む20万以上のインストールがあり、長年クリーンに動作し、Googleの「Featured」および「Verified」バッジを獲得していました。インストール状況を密かに追跡してリーチを最適化した後、アクターは2024年半ばに悪質なアップデートをプッシュし、瞬く間に30万以上のブラウザをRCE対応ボットネットへと変貌させました。このペイロードは、1時間ごとのコマンド&コントロールループを展開し、タイムスタンプとリファラーを含む完全な閲覧履歴を流出させ、chrome.storage.syncを介して識別子を永続化させ、サービスワーカーを使用してネットワークトラフィックを傍受および変更します。これにより、HTTPSを含むあらゆるサイトでの資格情報盗難、セッションハイジャック、コンテンツ挿入の可能性が開かれます。高度な難読化と分析対策ロジックにより、開発者ツールが開かれるとマルウェアは良性な振る舞いに戻ります。
フェーズ4では、ShadyPandaはEdgeでパブリッシャーStarlab Technologyを通じて規模を拡大し、合計400万インストールを超えた5つの拡張機能をリリースしました。WeTabとその関連拡張機能は、リアルタイムの閲覧履歴、検索クエリ、マウスの動き、ページインタラクションデータ、およびストレージコンテンツを収集し、Google Analyticsと共に複数の中国のドメインに転送しています。これらの拡張機能は広範な権限を持ち、自動更新機能があり、公開されたままとなっています。これは、アクターがいつでもこれらを完全なRCEバックドアへと変貌させることができることを意味します。
ブラウザ拡張機能セキュリティの課題
ShadyPandaキャンペーンは、ブラウザ拡張機能セキュリティにおけるシステム的な欠陥を露呈しています。ChromeおよびEdgeのマーケットプレイスは、依然として提出時の静的分析と承認後の信頼に大きく依存しており、自動更新パイプラインは意味のある継続的な精査なしにコード変更を配信しているのが現状です。