サイバーニュース.jp

世界のサイバーなニュースを配信

「GhostPoster」悪性ブラウザ拡張機能が84万件のインストールで発見

カテゴリ:

概要:「GhostPoster」キャンペーンと84万件の悪性拡張機能

「GhostPoster」キャンペーンに関連する17種類の悪性ブラウザ拡張機能が、Chrome、Firefox、Edgeの各ストアで発見され、合計で84万件ものインストール数を記録していることが明らかになりました。このキャンペーンは昨年12月にKoi Securityの研究者によって初めて報告され、拡張機能のロゴ画像内に悪質なJavaScriptコードを隠蔽し、ブラウザ活動を監視してバックドアを仕込む手口が使われていました。

これらの悪性コードは、外部リソースから高度に難読化されたペイロードを取得し、犠牲者のブラウジング活動を追跡します。さらに、主要なeコマースプラットフォームでアフィリエイトリンクを乗っ取り、目に見えないiframeを挿入して広告詐欺やクリック詐欺を行うなど、多岐にわたる悪質な活動を展開しています。

LayerXによる追加報告と影響を受けた拡張機能

ブラウザセキュリティプラットフォームのLayerXからの新たな報告によると、このキャンペーンは摘発されたにもかかわらず現在も継続しているとのことです。以下の17種類の拡張機能がこのGhostPosterキャンペーンの一部として特定されました。

  • Google Translate in Right Click – 522,398 installs
  • Translate Selected Text with Google – 159,645 installs
  • Ads Block Ultimate – 48,078 installs
  • Floating Player – PiP Mode – 40,824 installs
  • Convert Everything – 17,171 installs
  • Youtube Download – 11,458 installs
  • One Key Translate – 10,785 installs
  • AdBlocker – 10,155 installs
  • Save Image to Pinterest on Right Click – 6,517 installs
  • Instagram Downloader – 3,807 installs
  • RSS Feed – 2,781 installs
  • Cool Cursor – 2,254 installs
  • Full Page Screenshot – 2,000 installs
  • Amazon Price History – 1,197 installs
  • Color Enhancer – 712 installs
  • Translate Selected Text with Right Click – 283 installs
  • Page Screenshot Clipper – 86 installs

攻撃の起源と巧妙な手口の進化

研究者によると、このキャンペーンはMicrosoft Edgeで始まり、その後FirefoxとChromeへと拡大しました。LayerXの調査では、上記の一部拡張機能が2020年からブラウザアドオンストアに存在していたことも判明しており、長期にわたる巧妙な運用が示唆されています。

回避技術と活動後能力は以前Koiによって報告されたものとほとんど同じですが、LayerXは「Instagram Downloader」拡張機能においてより高度な亜種を特定しました。この亜種では、悪質なステージングロジックが拡張機能のバックグラウンドスクリプトに移動し、アイコンだけでなくバンドルされた画像ファイルを隠蔽ペイロードのコンテナとして使用しています。

実行時には、バックグラウンドスクリプトが画像の生バイトを特定の区切り文字(「>>>>」)でスキャンし、隠されたデータを抽出してローカル拡張機能ストレージに保存します。その後、Base64デコードしてJavaScriptとして実行するという仕組みです。LayerXは、この段階的な実行フローが、静的および行動ベースの検出メカニズムに対する潜伏期間、モジュール性、および回復力を高める明確な進化を示しているとコメントしています。

現在の状況と残るリスク

LayerXの研究者によると、新たに特定された拡張機能は現在、MozillaとMicrosoftのアドオンストアには存在しないとのことです。BleepingComputerがGoogleに連絡したところ、Googleの広報担当者も、Chromeウェブストアに存在していたすべての拡張機能が既に削除されたことを確認しました。

しかし、これらの拡張機能をすでにブラウザにインストールしているユーザーは依然としてリスクにさらされている可能性があります。ユーザーは自身のブラウザにこれらの拡張機能がインストールされていないか確認し、もし存在する場合は速やかに削除することが推奨されます。

元記事: https://www.bleepingcomputer.com/news/security/malicious-ghostposter-browser-extensions-found-with-840-000-installs/

投稿をさらに読み込む