Chrome の悪意のエクステンション VenomSoftX:Google Sheets を装い暗号通貨を窃取 

Google Chrome extension used to steal cryptocurrency, passwords

2022/11/21 BleepingComputer — VenomSoftX という情報窃取型の Google Chrome エクステンションが、Windows マルウェアにより展開され、ユーザーの暗号通貨やクリップボードの内容を窃取している。 この Chrome エクステンションは、Windows マルウェア ViperSoftX によりインストールされ、JavaScript ベース の RAT (Remote Access Trojan) として、また、暗号通貨ハイジャッカーとして機能する。 ViperSoftX は 2020年から存在しており、CerberusColin Cowie のセキュリティ研究者により、また、Fortinet のレポートにより、以前から公表されている。

最近のアクティビティ

しかし、今日に公開された Avast の最新のレポートでは、この悪意のエクステンション VenomSoftX と、マルウェア ViperSoftX に対して施された、最近の大規模拡張の詳細が説明されている。Avast は顧客に対する 93,000 件の ViperSoftX 感染の試みを、同社は 2022 年の初めから検出/阻止してきたが、その被害は米国/イタリア/ブラジル/インドなどで発生している。

2022 victim heatmap
2022年の ViberSoftX 被害者ヒート・マップ
Source: Avast

ViperSoftX の主な感染経路は、クラックされたゲームやソフトウェアに混入されたファイルである。Avast が分析した結果によると、2022年11月8日までに悪意のオペレーターたちは、ViperSoftX と VenomSoftX でハードコードされているウォレット・アドレスにより、およそ $130,000 を稼いでいることが判明した。

これらの盗み出された暗号通貨は、侵害したデバイスで試みられるトランザクションを流用して得られたものであり、それと並行して行われた悪意のアクティビティによる利益は含まれていない。

ダウンロードされた実行ファイルは、AES データを解読して以下の5つのファイルを作成するマルウェア・ローダだ。

  • ViperSoftX PowerShell ペイロードを隠蔽するログ・ファイル
  • タスク・スケジューラ用 XML ファイル
  • スケジュールされたタスクを作成し、永続性を確立する VBS ファイル
  • アプリケーション・バイナリー (有償のゲームやソフトウェア) 
  • マニフェスト・ファイル

5MB のログ・テキスト・ファイルの下部のどこかに、1行の悪意のコードが隠されており、ペイロードである ViperSoftX Stealer の復号のために実行される。

新しい ViperSoftX の主な特徴は、Chromium ベースのブラウザ (Chrome/Brave/Edge/Opera) に、悪意の Chrome エクステンション VenomSoftX をインストールすることである。その他の機能は、暗号通貨ウォレットのデータ窃盗/任意のコマンド実行/C2 からのペイロード・ダウンロードなど、過去に分析されたものと大きな違いはない。

Chrome への感染

インストールされた VenomSoftX エクステンションは、被害者の目を逸らすために、Google Sheets 2.1 アプリになりすます。この5月には、セキュリティ研究者である Colin Cowie も、Update Manager としてインストールされたエクステンションを発見している。

Malicious extension showing up as Google Sheets
Google Sheets として表示される悪質なエクステンション
Source: Avast

VenomSoftX と ViperSoftX は、どちらも被害者の暗号通貨資産を狙うものであり、一見すると同じに見える。しかし、窃盗の方法が異なるため、VenomSoftX はオペレーターの成功率の方が高くなる。

Avast はレポートで、「VenomSoftX は、主に、被害者がアカウントを持っている、いくつかの人気の高い暗号取引所の API リクエストをフックすることで暗号を盗み出す。たとえば、特定の API が呼び出す送金の際などに、VenomSoftX は送信される前のリクエストを改ざんし、攻撃者のアカウントに暗号通貨をリダイレクトする」と説明している。

VenomSoftX がターゲットにする暗号取引所は、Blockchain.com/Binance/Coinbase/Gate.io/Kucoin などであり、クリップボードを監視してウォレット・アドレスの追加を監視することもあるという。

Examples of the hijacked cryptocurrency
乗っ取られた暗号通貨の例
Source: Avast

このエクステンションは、Web サイト上の HTML を変更して、ユーザーの暗号通貨ウォレット・アドレスを表示する一方で、それらの要素をバックグラウンドで操作し、支払い先を脅威のアクターにリダイレクトさせることも可能だ。

また、VenomSoftX エクステンションは、被害者の資産を確定するために、上記の暗号化サービスに対する、すべての API リクエストを傍受できる。そして、取引額を利用可能な最大値に設定し、すべての資金を吸い取るのである。

さらに悪いことに、Blockchain.info の場合には、このエクステンションはサイト上で入力されたパスワードも盗もうとする。

Avast は、「このモジュールは、www.blockchain.com にフォーカスしており、https://blockchain.info/wallet をフックしようとする。具体的に言うと、パスワード・フィールドの getter を変更する API エンドポイントへのリクエストが送信されると、そこからウォレット・アドレスを抽出してパスワードと束ね、MQTT 経由で base64 エンコードされた JSON としてコレクターに送信することで、入力されたパスワードの窃取を完遂する」と説明している。

また、ユーザーが任意の Web サイトにコンテンツを貼り付けると、それが上記に示した正規表現のいずれかに一致するかどうかを、このエクステンションはチェックする。そして、一致する場合は、貼り付けられたコンテンツを脅威アクターに送信する。

一般的に Google Sheets は、Chrome エクステンションの形態ではなく、アプリとして chrome://apps/ にインストールされる。したがって、Chrome の More Tools > Extensions で確認すれば、不審な Google Sheets エクステンションの有無を確認できる。Google Sheets がエクステンションとしてインストールされている場合は、それを削除し、ブラウザのデータを消去して、悪意のエクステンションが削除されたことを確認する必要がある。

Chrome のエクステンションとして配布されるマルウェアとしては、2021年12月6日の「Magnat マルウェア:バックドア/パスワード侵害を仕掛ける悪意の Chrome エクステンション」や、2022年1月26日の「Chaes というバンキング・トロイの木馬が Chrome エクステンションを介して拡散」、8月30日の「Chrome に潜む悪意のエクステンション:140万人のユーザーから情報を盗み出す」などの記事でサポートされています。インストールしたことを忘れているエクステンションも在るかもしれませんので、たまにはチェックして、不要なものを削除する方が良いでしょう。よろしければ、Chrome Extension で検索も、ご利用ください。

%d bloggers like this: