Chrome に潜む悪意のエクステンション:140万人のユーザーから情報を盗み出す

Chrome extensions with 1.4 million installs steal browsing data

2022/08/30 BleepingComputer — McAfee の脅威アナリストたちは、ユーザーの閲覧履歴を盗み出す、5つの Google Chrome エクステンションを発見した。これらのエクステンションは、合計で 140万回以上もダウンロードされている。一連のエクステンションの目的は、アフィリエイト料を騙し取ることになる。具体的には、ユーザーが eコマースサイトを訪問した際に監視を行い、訪問者のクッキーを変更して、あたかもリファラー・リンクを経由し訪問したように見せかける。それにより、エクステンションの作者は、eコマースサイトでの購入に際して、アフィリエイト料を不正に得ていく。

McAfee の研究者たちが発見した悪質なエクステンションは、以下の5つだ。

  • Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) – 800,000 downloads
  • Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300,000 downloads
  • Full Page Screenshot Capture – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200,000 downloads
  • FlipShope – Price Tracker Extension (adikhbfjdbjkhelbdnffogkobkekkkej) – 80,000 downloads
  • AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20,000 downloads
Four of the malicious extensions
Four of the malicious extensions (McAfee)

注目すべきは、上記の各エクステンションが約束された機能を備えており、被害者が悪意の行為に気づくことが困難になっている点である。 これらを使用しても、直接的な被害がユーザーに及ぶことはないが、プライバシー・リスクは深刻なものとなる。

したがって、リストアップされたエクステンションを使用している場合には、たとえ便利な機能だと思っていても、すぐにブラウザから削除することが推奨される。

エクステンションの仕組み

McAfee が発見した5つのエクステンションは、その全てが似たように動作する。それらの Web アプリのマニフェスト (manifest.json ファイル) が、システム上でのエクステンションの動作を指示し、攻撃者が管理するドメイン (langhort[.]com) へ向けて、ブラウジング・データを送信するための多機能スクリプト B0.js をロードする。

新しい URL にユーザーがアクセスするたびに、POST リクエストを経由して一連のデータが配信される。詐欺師たちに届けられる情報は、base64形 式の URL/ユーザー ID/デバイスの位置情報/エンコードされたリファーラル URL などである。

Function to get user data
Function to get user data (McAfee)

これらの悪意のエクステンションの作者が積極的に提携している、Web サイト・リストのエントリと、被害者が訪問した Wen サイトが一致する場合に、このサーバは2つの機能のうちのいずれかで B0.js に対して応答する。

1つ目の “Result[‘c’] – passf_url” は、訪問した Web サイト上に URL (リフェラル・リンク) を iframe として挿入するようスクリプトに命令する。2つ目の “Result[‘e’] setCookie” は、対象となるアクションを実行するパーミッションが、エクステンションに付与されている場合のものであり、提供された Cookie の修正/交換を B0.js に命令する。

Inserting a referral URL (above) and setting the cookie to include an affiliate ID (bottom)
Inserting a referral URL (above) and setting the cookie to include an affiliate ID (bottom) (McAfee)

McAfee は、URL と Cookie の変更が、リアルタイムで行われる様子を紹介する、動画も公開している。

いくつかのエクステンションは検出/分析を回避し、研究者たちや警戒心の強いユーザーを混乱させるために、インストール時から 15日間のディレーを確保した上で、 ブラウザのアクティビティを発信し始めるという特徴を持つ。

Delay of 15 days on some of the malicious extensions
Delay of 15 days on some of the malicious extensions (McAfee)

この記事の執筆時点において、”Full Page Screenshot Capture – Screenshotting” と “FlipShope – Price Tracker Extension” は、依然として Chrome Web Store で入手可能な状況にある。Netflix Party の2つのエクステンションはストアから削除されたが、Web ブラウザ内から削除されるわけではないので、手動でアンインストールする必要がある。

Chrome に限っての話ではありませんが、このところ、悪意のエクステンションから攻撃が始まるというインシデントが増えているように思えます。ブログ内を調べてみたら、2021年12月6日の「Magnat マルウェア:バックドア/パスワード侵害を仕掛ける悪意の Chrome エクステンション」や、2022年1月26日の「Chaes というバンキング・トロイの木馬が Chrome エクステンションを介して拡散」、6月19日の「Google Chrome フィンガープリントという問題:エクステンションの種類からユーザー追跡ハッシュの取得が可能」、8月16日の「Kaspersky 調査:Web ブラウザ・エクステンション 700万に潜む悪意のアドウェア」などが見つかりました。ブラウザ本体をアップデートしても、悪意のエクステンションを放置しているケースも多いと思います。ご注意ください。

%d bloggers like this: