サイバーニュース.jp

世界のサイバーなニュースを配信

Firefoxユーザー5万人以上が標的に:「GhostPoster」攻撃、PNGアイコンに隠されたマルウェアがブラウザを乗っ取る

カテゴリ:

「GhostPoster」攻撃の概要

「GhostPoster」と呼ばれる高度なマルウェアキャンペーンにより、約50,000人のFirefoxユーザーがブラウザ拡張機能のアイコンを介して侵害されました。Koi Securityの研究者によると、攻撃者は悪意のあるマルウェアのペイロードをPNGロゴファイル内に直接埋め込み、一見無害な視覚要素を、従来のセキュリティスキャンを回避する危険な配信メカニズムに変えています。

このキャンペーンは、合計で50,000回以上のインストールがある17のFirefox拡張機能に及んでいます。悪意のある拡張機能の中には、「Free VPN Forever」があり、これは2025年9月からFirefoxアドオンマーケットプレイスで活動し、16,000回以上のインストールを獲得しています。報告時点で、この拡張機能は、他の多くの侵害されたアドオン(VPNサービス、翻訳ツール、天気予報、広告ブロッカーを装っているもの)と共に依然として稼働しています。

ステルス性の高い感染メカニズム

この攻撃では、視覚的な外観に影響を与えることなく実行可能コードを画像ファイル内に隠蔽する「ステガノグラフィ」という技術が採用されています。「Free VPN Forever」のような拡張機能がロゴ.pngファイルを読み込む際、これは通常の操作であるためセキュリティ上の警告は発生しません。しかし、拡張機能は画像の生のバイトの中から「===」という特定のマーカーを検索します。このマーカーに続くすべてのデータは画像データではなく、抽出されて実行されるのを待つ隠されたJavaScriptコードです。

このマルチステージのマルウェアアーキテクチャは、ロゴを初期ローダーとして利用します。抽出されたコードは、コマンド&コントロール(C&C)サーバー(ライブアップグレード[.]comまたはそのバックアップであるdealctr[.]com)に接続し、実際のペイロードを取得します。

巧妙な回避と永続化

マルウェアは、サーバーへのチェックインを48時間待機し、ペイロードを取得するのは10%の確率のみという、巧妙な回避戦術を示しています。このランダムな挙動パターンは、ネットワークトラフィックを監視するセキュリティ研究者にとって、疑わしい活動を観測することを極めて困難にしています。感染した拡張機能は長期間にわたり静かに動作し続ける可能性があります。

C&Cサーバーからペイロードが届くと、カスタムエンコーディングが施されます。これには大文字と小文字の入れ替え、8と9の交換が含まれ、その後Base64デコードが適用されます。デコードされたペイロードは、拡張機能の一意のランタイムIDを使用してXOR暗号化され、ブラウザストレージに保存されることで、被害者のシステム上での永続性を確立します。

包括的なブラウザ乗っ取りと収益化

最終的なペイロードは、ユーザーの知らないうちに感染したブラウザを収益化する多角的な攻撃を実行します。マルウェアは、TaobaoやJD.comなどの主要なeコマースプラットフォーム上のアフィリエイトリンクを傍受し、正当なアフィリエイトからのコミッションを攻撃者にリダイレクトします。また、アクセスしたすべてのページにGoogle Analyticsトラッキング(ID: UA-60144933-8)を挿入し、インストール日、感染期間、訪問した販売店ネットワーク、一意のブラウザ識別子を収集します。

最も懸念されるのは、マルウェアがHTTPレスポンスから重要なセキュリティヘッダーを積極的に除去している点です。これにより、クリックジャッキングやクロスサイトスクリプティング攻撃から防御する

Content-Security-Policy

X-Frame-Options

などの保護が削除されます。この拡張機能には、ユーザー操作をシミュレートするための目に見えないオーバーレイと、refeuficn.github.ioでホストされている外部ソルバーを使用する複数のCAPTCHAバイパス方法が含まれています。さらに、広告詐欺やクリック詐欺のために隠されたiframeがページに挿入され、法医学的検出を避けるために15秒後に消滅します。

悪質なVPN拡張機能の危険性

GhostPosterキャンペーンは、無料VPN拡張機能が悪質なものへと変貌する憂慮すべき傾向の最新事例です。今月初めには、800万人のユーザーを持つGoogle Featured拡張機能「Urban VPN Proxy」が、ChatGPT、Claude、GeminiからのAI会話を収集してデータブローカーに販売していたことが暴露されました。同様に、10万回以上のインストールを持つ別の認証済み拡張機能「FreeVPN.One」も、ユーザーの銀行情報、プライベート写真、機密文書のスクリーンショットを密かにキャプチャしていたことが発覚しています。

GhostPosterキャンペーンは、攻撃者が試行錯誤を通じてその技術を洗練させていることを示しています。特定された17の拡張機能は、異なる配信メカニズムを使用しており、一部はPNGステガノグラフィを利用し、他のものはJavaScriptを直接ダウンロードするか、エンコードされたC&Cドメインを持つ隠された

eval()

呼び出しを使用しています。これは、脅威アクターがどの手法が最も長く検出を回避し、最大の収益を生み出すかをテストしていることを示唆しています。

ユーザーへの推奨事項

ユーザーは、この進行中の脅威から身を守るために、直ちにFirefox拡張機能を確認し、なじみのない、または最近インストールしたVPNおよびユーティリティ拡張機能を削除する必要があります。

元記事: https://gbhackers.com/ghostposter-attack/

投稿をさらに読み込む