Magnat マルウェア:バックドア/パスワード侵害を仕掛ける悪意の Chrome エクステンション

Magnat malvertising campaigns spreads malicious Chrome extensions, backdoors and info stealers

2021/12/06 SecurityAffairs — Talos の研究者たちが発見したのは、新しいバックドアと文書化されていない悪意の Google Chrome エクステンションを、ユーザーを騙してダウンロードさせるために、人気のアプリやゲームの偽インストーラー使用する、一連のマルバタイジング・キャンペーンである。

Talos によると、この脅威アクターは 2018年末から活動しており、2019年末〜2020年にかけて断続的な活動が観測されている。このグループは 2021年4月に再浮上し、カナダ/米国/オーストラリア/イタリア/スペイン/ノルウェーのユーザーを対象とした、不正広告キャンペーンを行っている。

偽のインストーラーを実行してしまうと、被害者のシステム上では、以下のようなマルウェアを実行される。

  • RedLine Stealer と呼ばれるパスワード・スティーラー。
  • AutoIt_based バックドアは、RDP ポートを SSH トンネル経由で転送することで、ステルスの Microsoft Remote Desktop セッションを介して、リモート・アクセスを確立するために使用される。このバックドアは、ファイアウォールの内側であっても、感染したシステムへのアクセスが可能となる。
  • MagnatExtension という名の、悪意のブラウザ・エクステンションには、キーロギングやスクリーンショットなどの、複数の情報窃取機能が含まれている。

    Talos は、「この攻撃は、被害者が特定のソフトウェアのダウンロードを探すことから始まる。また、ソフトウェアのインストーラのダウンロードを提供する、Web ページへのリンクを提示する広告キャンペーンを、攻撃者が設定していると考えられる。このインストーラーには、さまざまなファイル名が付けられている。たとえば、viber-25164.exe/wechat-35355.exe/build_9.716-6032.exe/setup_164335.exe/nox_setup_55606.exe/battlefieldsetup_76522.exe などがある。このインストーラーが実行されると、告知されているソフトウェアがインストールされず、その代わりに悪意のローダーがシステム上で実行される」と述べている。

    Cisco Talos の研究者たちは、このキャンペーンについて、Magnat として追跡されている未知の脅威アクターの仕業だと推測している。また、専門家たちが注目しているのは、このグループがマルウェアのファミリーを更新していると報告されている点である。

    MagnatExtension は、攻撃者が被害者のシステム上で、Google の Safe browsing を装いながら、フォーム・データの窃取/クッキーの採取/任意の JavaScript 実行などを行うことを許してしまう。この拡張機能で使用される C2 (Command and Conttrol) アドレスはハードコードされているが、現在の C2 が追加の C2 ドメインのリストを使って更新することも可能だ。また、攻撃者は C2 のバックアップ機構を実装しており、”#aquamamba2019″ や “#ololo2019” といったハッシュタグの Twitter 検索から、新しい C2 アドレスを取得できる。

    ツイートからドメインを取得するアルゴリズムは、ツイートにおける各単語の最初の文字を連結するという、効果的でシンプルなものだ。たとえは「Squishy turbulent areas terminate active round engines after dank years. Industrial creepy units」と、そこに含まれるハッシュタグ #aquamamba2019 の組み合わせは、”stataready[.]icu”と翻訳される。

    C2 がアクティブで利用可能になると、データは HTTP POST リクエストのボディにjson 形式で送信される。そして、この json 文字列は暗号化されている。

    Cisco Talos は、「パスワード・スティーラーとバンキング・トロイの木馬に似たChrome エクステンションを使用していることから、攻撃者の目的はユーザー資格情報の取得にあり、それらは販売されることもあり、また、自身が悪用することもある。RDP バックドアを展開した動機は不明だ。最も可能性が高いのは、RDP アクセスの販売である。また、IP アドレスや他のエンドポイントにインストールされた、セキュリティ機能を回避するための RDP 利用や、攻撃者にとって興味深いと思われるシステムをさらに悪用するための RDP の使用も考えられる」と結論づけている。

マルバタイジング (malvertising) というのは、マルウェア+アドバタイジングの意味なのでしょうね。Google Chrome エクステンションは便利なので、いろいろと利用している人も多いと思いますが、たまにはチェックして、不要なものを削除したほうが良いのでしょうね。10月には、「悪意の Chrome 広告ブロック:自身のサイトへリダイレクトさせて利益を上げる手口」という記事もありました。ご用心ください。