悪意のあるブラウザ拡張機能がimTokenユーザーの秘密鍵を標的にする

Socketの脅威研究チームは、Google Chrome拡張機能の偽装された悪意のあるバージョンを発見しました。この拡張機能は、ユーザーの秘密鍵や復元フレーズを盗むために設計されています。この拡張機能は「lmΤoken Chromophore」と名付けられ、公式の非保管型ウォレットブランドimTokenを模倣しています。

拡張機能の詳細

この悪意のある拡張機能は、開発者やデジタルアーティスト向けの無害なヘックスカラー視覚化ツールとして偽装されています。しかし、実際にはユーザーの秘密鍵や復元フレーズを盗むために使用されます。

攻撃の仕組み

この拡張機能は、インストール時に自動的に攻撃を開始し、ユーザーがアイコンをクリックするたびに再び攻撃を繰り返します。

被害の規模

imTokenウォレットは2016年にリリースされて以来、世界中で2000万人以上のユーザーを獲得しています。しかし、imTokenはモバイルアプリケーションのみを提供しており、公式のChrome拡張機能は存在しません。そのため、この拡張機能はブランド認識を利用して攻撃を仕掛ける絶好の標的となっています。

技術的な詳細

この攻撃では、高度な回避技術が使用されています。拡張機能自体には盗難のロジックが含まれていませんが、バックグラウンドのJavaScriptが外部のJSONKeeper設定エンドポイントからリダイレクト先のURLを取得します。その後、ユーザーは脅威アクターが制御するフィッシングサイトにリダイレクトされます。

フィッシングサイトの詳細

フィッシングサイトは、ユーザーが秘密鍵や復元フレーズを直接入力するように促します。これにより、攻撃者は即座に関連する暗号資産を完全に制御することができます。

対策

セキュリティアナリストは、インストール時に外部ドメインを開くブラウザ拡張機能に注意を払う必要があります。また、組織と個人はすべてのブラウザ拡張機能を高リスクのサードパーティソフトウェアとして扱い、拡張機能のインストールを厳しく制限し、公式のベンダー配布チャネルを通じて暗号関連のソフトウェアを厳密に確認する必要があります。

インジケータと対策

• 悪意のある拡張機能ID: bbhaganppipihlhjgaaeeeefbaoihcgi
• 悪意のある拡張機能名: lmΤoken Chromophore
• 主要なフィッシングドメイン: chroomewedbstorre-detail-extension.com
• 設定エンドポイント: jsonkeeper.com/b/KUWNE

これらのセキュリティリスクを効果的に軽減するためには、組織と個人はすべてのブラウザ拡張機能を高リスクのサードパーティソフトウェアとして扱い、拡張機能のインストールを厳しく制限し、公式のベンダー配布チャネルを通じて暗号関連のソフトウェアを厳密に確認する必要があります。

---

元記事: https://gbhackers.com/malicious-browser-add-on-targets-imtoken-users/