Chromium アプリ・モードの危険性:Chrome/Edge/Brave ユーザーの盲点を突く攻撃手法

Web browser app mode can be abused to make desktop phishing pages

2022/10/03 BleepingComputer — Chrome のアプリケーション・モード機能を利用した、デスクトップ・アプリとして表示されるローカル・ログイン・フォームから、新たなフィッシング手法を実施する脅威アクターが、認証情報を容易に盗み出しているという。このアプリ・モード機能は、Google Chrome/Microsoft Edge/Brave Browser などを含む、すべての Chromium ベースのブラウザで利用できる。この機能により、正規のログイン画面と見分けがつかない、リアルなログイン画面を生成することが可能となる。

フィッシング詐欺に利用されているブラウザのウィンドウとは異なり、デスクトップ・アプリでは成りすましが難しいという考え方が一般的であるため、ユーザーが注意深く扱うことが難しいのだ。

Chrome のアプリ・モードをフィッシング攻撃に悪用する可能性は、研究者の mr.d0x により実証されている。今年の初めに、彼は Browser in the Browser 攻撃も考案している。その後に、複数の脅威アクターがフィッシング攻撃で、この BiTB 技術を使用して、認証情報を盗み出した。

Chromium のアプリケーション・モード機能

Chrome のアプリ・モードを用いる Web 開発者は、ChromeOS や YouTube のようなクリーンでミニマルなインターフェースを好むユーザーのために、ネイティブなデスクトップの外観を持つ Web アプリを作成できる。

このアプリ・モードでは、URL アドレス・バーやブラウザのツール・バーなどを表示しない、別ウィンドウで Web サイトを起動することが可能であり、Windows タスクバーには Chrome のアイコンの代わりに Web サイト・ファビコンが表示される。

それにより、脅威アクターは偽のデスクトップ・ログイン・フォームを作成可能であり、それとは知らずに、この種のアプリを起動するユーザーは、卑劣なフィッシング攻撃にさらされることになる。

BleepingComputer and Gmail opened in Chrome’s app mode

アプリ・モードを悪用する攻撃

この手法を用いた攻撃を行う脅威者は、最初に Chromium のアプリ・モードを使って、フィッシング URL を起動させる Windows ショートカットを実行するよう、ユーザーを誘導する必要がある。

Microsoft が Office のマクロをデフォルトで無効にし始めた後に、脅威アクターは新たなフィッシング攻撃に切り替え、大きな成功を収めている。そこで使われる手法として、ISO アーカイブに含まれる Windows ショートカット (.LNK) をメールで送り、QBot/BazarLoader/BumbleBee などのマルウェアを配布するという手口がある。

しかし、マルウェアのインストールは非常に目立ちやすいため、マシン上で動作しているセキュリティ・ソフトウェアにより簡単に検出されてしまう。その一方で、ブラウザを開いて、新しいフィッシング URL を表示させる方式では、検出される可能性が低くなる。

Windows 10 以降において、Microsoft Edge がデフォルトでインストールされるようになったことで、脅威アクターは Microsoft Edge を起動する Windows ショートカット・ファイルを配布するだけで、こうした攻撃を容易に行うことができる。

Windows shortcut disguised as a Word document
Windows shortcut disguised as a Word document
Source: BleepingComputer

mr.d0x が投稿で説明しているように、悪意の攻撃者は以下のコマンドを使って、ターゲットのコンピュータ上でフィッシングのアプレットを起動する、ショートカットを作成できるのだそうだ。

# Chrome
"C:\Program Files\Google\Chrome\Application\chrome.exe" --app=https://example.com

# Microsoft Edge
"c:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --app=https://example.com
Adding the required parameters on the malicious file
Adding the required parameters on the malicious file (mrd0x.com)

この場合には、厳しい前提条件により、ターゲットのマシンにアクセスする必要があるが、Chrome のアプリ・モードを悪用する方法は、それだけではない。

また、攻撃者は、ポータブル HTML ファイルを用いて攻撃を開始し、”-app” パラメータを埋め込んでフィッシング・サイトを指し示し、ターゲットにファイルを配布することも可能だ。

Phishing Microsoft Teams users with Chrome's app mode
Phishing Microsoft Teams users with Chrome’s app mode (mrd0x.com)

ユースケースによっては、攻撃者は “Browser-in-the-Browser” の手法で、必要なHTML/CSS の追加による偽アドレス・バーの挿入が可能であり、また、Microsoft 365/Microsoft Teams/VPN のログイン・プロンプトなどの、ソフトウェア・クローンの作成も可能だという。

また、この研究者は、macOS や Linux でも、それらの OS に適したコマンドを用いて、攻撃を開始できると指摘している。

"/Applications/Google Chrome.app/Contents/MacOS/Google Chrome" --app=https://example.com

このフィッシング・ウィンドウは、JavaScript を用いることで、ユーザーによるログイン情報の入力後のクローズや、ウィンドウ・サイズ変更要求の受け入れ、画面上の特定の位置へのレンダリングなどの、アクション・コマンドを受け取ることも可能である。

この攻撃が達成されるためには、デバイス上での Chromium アプリ・モードの起動が必要という制限がある。だたし、このローカルでのアクセスという制約は、すでにデバイスが、ある程度まで危険にさらされていることを意味する。

しかし、脅威者がターゲットを騙して、Windows のショートカットを起動させるレベルに達すれば、高度なフィッシング攻撃の可能性は、攻撃者の創造力しだいとなる。

Chromium ベースのアプリ・モードに問題ありとのことですが、たとえば、以前の Google Keep などが、その事例になるのでしょうか。 途中から、Chrome エクステンションに切り替わってしまいましたが、安全性の問題も関連していたので、Chrome Manifest V3 への移行を進めているのでしょうか。前述の Keep だけではなく、翻訳サービスの DeepL なども、Chromium ベースのアプリなのかもしれません。この種の、クラウド上のデータを操作するものには、オープンソース・フレームワークの Electron なども使われているようです。いずれも、サプライチェーン攻撃につながるものなので、脅威アクターに狙われやすいはずです。

%d bloggers like this: