概要

長期間にわたるChrome拡張機能のマルウェアキャンペーンが、静かにVKontakte (VK) アカウントを乗っ取り、ユーザーを攻撃者制御のグループに強制参加させ、設定を30日ごとにリセットし、VK自体のインフラストラクチャを利用してコマンド＆コントロールを行う。

背景

このマルウェアキャンペーンは、「VK Styles Themes for vk.com」という名前の拡張機能から始まりました。この拡張機能は約40万回インストールされており、ユーザーからの評価も高かったものの、実際には単一の脅威アクターによって維持されているマルウェアプロジェクトでした。

調査結果

研究者は、「VK Styles Themes for vk.com」拡張機能内で動的に計算されたYandexメトリックIDを発見しました。このIDは、スキャナーやレビュアーによる静的文字列ベースの検出を回避するために使用されていました。

マルウェアの仕組み

このマルウェアは以下の5つの主要な悪意のある動作を行います：

• 自動参加： VKグループにユーザーを強制的に参加させ、攻撃者のコミュニティを成長させる。
• 30日リセット： ユーザーの設定を定期的にリセットし、継続的なコントロールを確保する。
• CSRF保護Cookie操作： VKのセキュリティ制御であるCSRF保護Cookieを操作し、拡張機能からの要求がVKバックエンドに正当なものとして認識されるようにします。
• 寄付状況追跡： VK Donut APIを使用してユーザーの支払い状況に基づいて機能を制御する。
• マルチステージアーキテクチャ： VKプロファイルメタデータとGitHubホストされたペイロードによって駆動され、攻撃者がリアルタイムで動作を更新できるようにします。

対策情報

以下の拡張機能IDが関連しています：

• ID: ceibjdigmfbbgcpkkdpmjokkokklodmc インストール数: 400,000
• ID: mflibpdjoodmoppignjhciadahapkoch インストール数: 80,000
• ID: lgakkahjfibfgmacigibnhcgepajgfdb インストール数: 20,000
• ID: bndkfmmbidllaiccmpnbdonijmicaafn インストール数: 2,000
• ID: pcdgkgbadeggbnodegejccjffnoakcoh インストール数: 2,000

元記事: https://gbhackers.com/chrome-extensions-infect-500k-users/