ChromeLoader ブラウザ・ハイジャックの恐怖:PowerShell と ISO の悪用について深堀りする

ChromeLoader Malware Hijacks Browsers With ISO Files

2022/05/28 DarkReading — 今週に発表された2つのアドバイザリによると、ChromeLoader と呼ばれるブラウザ・ハイジャック・マルウェアは、その活動を盛んにし、運用も巧妙になってきているようであり、ビジネス・ユーザーにとって大きな脅威となっている。ChromeLoader は、オートメーションとコンフィグレーションを管理するフレームワーク PowerShell を悪用し、ブラウザに自身を注入し、悪意の拡張機能を追加するという洗練されたマルウェアである。今日における企業の環境は、柔軟な労働環境と多様なエンドポイントを持ち、SaaS への依存度を高めているため、この種の脅威は攻撃対象領域を大幅に拡大させる。

Talon Cyber Security の CTO である Ohad Bobrov は、「ブラウザはインターネットへのフロントドアであり、SaaS にアクセスするユーザーにとって最初の防御線である。攻撃者たちのブラウザに対する認識は、SaaS アプリケーションからリモート情報を盗むチャンスを提供するものであり、また、簡単に操作できる悪意の拡張機能を作成できる場所とも捉えている」と述べている。

このケースにおいてマルウェアは、最適化された悪意のディスク・イメージ・ファイル (ISO) を用いてブラウザを乗っ取り、マルバタイジング・スキームのための、偽の検索結果を表示するようにリダイレクトしている。そして、多くの場合、ソフトウェアやゲームのクラック版や海賊版に、それらの悪意の ISO ファイルは隠されている。

MalwarebytesLabs および Red Canary の指摘は、ChromeLoader によるPowerShell の乱用と ISO ファイルの利用が相まって、このマルウェアが極めて攻撃的になっているという点である。

彼らは、「PowerShell は、他の高度なシェルと同様に、タスクを自動化するための管理ツールとして使用されている。そして管理者は、無数のタスクのために良性のシェルスクリプトを使用している。その一方で、脅威アクターたちは、悪意のスクリプトを実行するために ISO ファイルを用い、その後に、悪意の拡張機能をドロップする。この手法は、決して新しいものではないが、依然として ISO がビジネス環境で普通に使用されているため、有効な攻撃手法となっている」と指摘している。

今回のキャンペーンでは、海賊版ソフトウェアという策略に依存しているようだが、ISO はネットワークやシステムの管理においても重要であり、サーバーやコンテナにパッケージをインストールする際に使用されている。つまり、Linux は ISO 経由でインストールされ、Windows のアップグレードも ISO 経由でインストールされる。

ブラウザを感染させることでセキュリティ対策を回避できる

Parkin は、多くのアプリケーションがブラウザ・ベースになっているため、サイバー犯罪者が悪質なコードを置く場所として理にかなっていると指摘する。さらに、ブラウザは、大半のセキュリティ・プログラムが監視していないアプリケーションであり、また、大半のエンドポイント保護ソリューションでは、悪意の拡張機能がスキャンされないのが一般であり、悪意のあるコードかどうかが判断されていない」と述べている。

Parkin は、「ブラウザを感染させる攻撃者は、トラフィックの暗号化などの機能を手に入れ、攻撃を阻害する数多くのセキュリティ対策を回避できる。つまり、悪意のハードディスクをシステムに追加するようなものである」と述べている。

ブラウザに不正アクセスすることで、被害者のデータにアクセスすることが可能となり、場合によっては攻撃者が行動を起こすこともあり得る。このように、簡単にアクセスすることが可能であり、かつ、価値の高い情報を持っているブラウザは、マルウェアの運用者にとって、最小限の労力で大きな成果を上げられる対象となる。

さらに、ChromeLoader の機能は、悪意の拡張機能をインストールするだけではなく、さらに高度な攻撃も可能だ。

Talon の Bobrov は、「ほとんどのセキュリティ・ツールには検出されない。ChromeLoader が PowerShell を悪用することで可能になるものには、ランサムウェア/ファイルレス・マルウェア/悪意のコードのメモリ・インジェクションなどがあり、など、より高度な攻撃も可能になるので、きわめて危険である」と述べている。

Bobrov は、「ISO ファイルは大量のデータを保持できるので、マルウェアが隠れる余地は十分にある。さらに、これらのファイルは、エンドユーザーを混乱させるだけではなく、OS が実行する可能性のある、いくつかの自動的なアクションを備えている。

悪意の ISO ファイルを阻止するためには、サイバー衛生とユーザー教育が不可欠

Bobrov は、悪意の ISO ファイルによる脅威を取り除くには、基本的なサイバー衛生に関連することが重要だと述べている。ダウンロードするデータと、そのダウンロード元を理解し、信頼できるのかできないのかを確認するする必要がある。

さらに、彼は、「信頼できるソースからのものではない ISO ファイルを起動してはいけない。また、安全性を確認せずに ISO 内のファイルを実行してもいけない。インターネットを閲覧する際には、閲覧する Web サイトを監視し、悪意のコンテンツから保護するためのセキュリティ制御を行うようにしてほしい」と述べている。

Parkin の観点では、悪意の ISO ファイルに晒されるのを防ぐには、ユーザー教育が最初のステップとして適切だとのことだ。そこには、疑わしいファイルのダウンロードに注意するよう、ユーザーを教育することも含まれる。

彼は、「ユーザーを教育する他にも、管理者はツールを導入し、ISO ファイルのマウントを制限するポリシーを実施できるが、それは BYOD 環境では難しいかもしれない。その一方で、VNC/Citrix/Windows Remote Desktop などの、リモート・デスクトップ環境を利用することで、ポリシーの適用を IT 管理者の手に取り戻すことも可能だ」と述べている。

2022年5月25日にも「ChromeLoader マルウェアが急増:新たな脅威が Chrome/Safari を脅かす」で、ChromeLoader の恐ろしさを伝えましたが、今回の DarkReading の記事は、この問題を、さらに深堀りするものになっています。言われてみて、ハッとするのは、「ブラウザは大半のセキュリティ・プログラムが監視していないアプリケーションであり、また、大半のエンドポイント保護ソリューションでは、悪意の拡張機能がスキャンされないのが一般である」という部分です。いまの IT 環境において、そして、ほとんどの処理において、ブラウザが関わるという構造を考えると、根本的な解決が難しそうな状況ですね。

%d bloggers like this: