概要:高度なマルウェアキャンペーン「GhostPoster」
Chrome、Firefox、およびEdgeのユーザーを標的とした高度なマルウェアキャンペーン「GhostPoster」が明らかになりました。このキャンペーンでは、検出を回避するために高度なステガノグラフィ技術を用いる17の悪意あるブラウザ拡張機能が展開され、合計84万回以上ダウンロードされています。GhostPosterは、これまでに記録されたブラウザ拡張機能の脅威の中でも、技術的に最も成熟し、かつ永続的なものの一つとされています。
巧妙な攻撃手法の解明
GhostPosterキャンペーンは、珍しい攻撃ベクトルを利用しています。それは、ブラウザ拡張機能にバンドルされたPNGアイコンファイル内に悪意あるペイロードを埋め込むというステガノグラフィの手法です。この手法により、攻撃者はブラウザ拡張機能マーケットプレイスで採用されている従来の静的分析やセキュリティレビュープロセスを回避しています。
マルウェアは、最大限のステルス性を追求した多段階の感染チェーンを通じて動作します。インストール中に、拡張機能は自身のアイコンファイルを解析し、初期ローダーを含む隠されたバイナリデータを抽出します。すぐに実行するのではなく、マルウェアは48時間以上の戦略的な遅延を設け、コマンド&コントロール(C2)通信を開始する前に、インストール後の不審な活動を監視する行動検出システムを回避します。活性化されると、抽出されたローダーはリモートのC2インフラストラクチャに接続し、追加のJavaScriptペイロードをダウンロードします。このモジュラーアーキテクチャにより、攻撃者は拡張機能自体を変更することなく悪意ある機能を更新でき、運用上の柔軟性とテイクダウンに対する耐性を提供しています。
トラフィックハイジャックと詐欺
活性化後の分析により、GhostPosterは金銭的動機と技術的成熟度を示す洗練された機能を有していることが判明しました。このマルウェアはHTTPヘッダーを操作し、Content Security Policy(CSP)やHTTP Strict Transport Security(HSTS)を含むウェブセキュリティポリシーを弱体化させ、さらなる悪用を可能にする脆弱性を生み出します。
このキャンペーンの主な収益化メカニズムは、アフィリエイトトラフィックのハイジャックであり、正当な紹介料を攻撃者管理下の口座にリダイレクトします。追加の詐欺機能には、クリック詐欺操作のためのiframeやスクリプトの注入、ブラウジングセッション全体にわたるユーザー追跡、高価値の標的を保護するセキュリティメカニズムを迂回するためのプログラムによるCAPTCHA解決が含まれます。
脅威の広がりと進化
Koi Securityが2025年12月に悪意あるFirefox拡張機能の詳細を公開した後、その後の調査により、このキャンペーンの真の規模が明らかになりました。インフラストラクチャ分析により、Firefox、Chrome、Microsoft Edgeの各プラットフォームで、同一の難読化パターン、C2動作、および遅延実行戦略を共有する17の拡張機能が特定されました。フォレンジック証拠は、この操作が2020年という早期にMicrosoft Edgeで始まったことを示しており、その後FirefoxとChromeに拡大しました。5年間の運用期間は、このキャンペーンがすべての主要なブラウザ拡張機能ストアのセキュリティレビューを成功裏に回避し、現在の審査プロセスの重大なギャップを浮き彫りにしています。
調査中に発見された高度な亜種は、脅威アクターの技術の継続的な進化を示しています。特に洗練されたイテレーションの一つは、拡張機能のバックグラウンドスクリプト内に悪意あるロジックを埋め込んでおり、バンドルされた画像ファイルを取得し、その生のバイトシーケンスからデリミタ(ASCII文字列「>>>>」)をスキャンします。このマーカーに続くすべてのデータはデコードされ、chrome.storage.localに「instlogo」というキーで保存されます。この二次ペイロードは、ネットワーク接続を確立する前に約5日間の延長された休眠期間を実行します。活性化されると、リモートサーバーからコンテンツを取得し、Base64エンコードされたデータを抽出し、デコードされたJavaScriptを動的に実行します。この段階的な実行フローは、検出の可能性を減らすより長い休眠期間、ペイロードの更新を可能にするモジュラーアーキテクチャ、部分的なテイクダウンにもかかわらず継続的な運用を保証する永続性メカニズムといった重要な利点を提供します。
ユーザーへの推奨事項と対策
MozillaとMicrosoftは公式マーケットプレイスから確認された悪意ある拡張機能を削除しましたが、ユーザーシステムに既にインストールされている拡張機能は、ユーザーが明示的に削除しない限り完全に動作し続けます。この永続性の制限は、遅延活性化とモジュラーペイロード配信メカニズムを採用するマルウェアにとって、ストアレベルのテイクダウンが完全な封じ込め戦略として不十分であることを強調しています。
ユーザーは、インストールされているブラウザ拡張機能を直ちに監査し、不慣れなものや使用していないものを削除するべきです。また、セキュリティチームは、アローリスティングと異常な拡張機能の動作を検出するための継続的な監視を組み込んだブラウザ拡張機能管理ポリシーを導入する必要があります。
侵害された拡張機能のリスト
- maiackahflfnegibhinjhpbgeoldeklb: Page Screenshot Clipper (86インストール)
- kjkhljbbodkfgbfnhjfdchkjacdhmeaf: Full Page Screenshot (2,000インストール)
- ielbkcjohpgmjhoiadncabphkglejgih: Convert Everything (17,171インストール)
- obocpangfamkffjllmcfnieeoacoheda: Translate Selected Text with Google (159,645インストール)
- dhnibdhcanplpdkcljgmfhbipehkgdkk: Youtube Download (11,458インストール)
- gmciomcaholgmklbfangdjkneihfkddd: RSS Feed (2,781インストール)
- fbobegkkdmmcnmoplkgdmfhdlkjfelnb: Ads Block Ultimate (48,078インストール)
- onlofoccaenllpjmalbnilfacjmcfhfk: AdBlocker (10,155インストール)
- bmmchpeggdipgcobjbkcjiifgjdaodng: Color Enhancer (712インストール)
- knoibjinlbaolannjalfdjiloaadnknj: Floating Player – PiP Mode (40,824インストール)
- jihipmfmicjjpbpmoceapfjmigmemfam: One Key Translate (10,785インストール)
- ajbkmeegjnmaggkhmibgckapjkohajim: Cool Cursor (2,254インストール)
- fcoongackakfdmiincikmjgkedcgjkdp: Google Translate in Right Click (522,398インストール)
- fmchencccolmmgjmaahfhpglemdcjfll: Translate Selected Text with Right Click (283インストール)
- amazon-price-history: Amazon Price History (1,197インストール)
- save-image-to-pinterest: Save Image to Pinterest on Right Click (6,517インストール)
- instagram-downloading: Instagram Downloader (3,807インストール)