Backdoored Chrome extension installed by 200,000 Roblox players
2022/11/23 BleepingComputer — Chromeブラウザ・エクステンションであり、20万人以上のゲーム・ユーザーにインストールされている SearchBlox のバックドアにより、Roblox の認証情報が不正に窃取され、Roblox 取引プラットフォーム Rolimons の資産が盗み出されていることが発見された。BleepingComputer は、このエクステンションのコードを解析し、開発者の意図により侵害後に仕掛けられる、バックドアの存在を示すことができた。
Roblox のプレイヤーを狙う Chrome エクステンション
Chrome Web Store で見つかった’SearchBlox’ エクステンションが侵害されてるよだと、BleepingComputer は推測した。Chrome の ‘SearchBlox’ 検索結果は2つある。これらのエクステンションは、「目的のプレイヤーを探すために、Roblox サーバを超高速で検索できる」と主張しているが、どちらもバックドアを含んでいた。
これらの危険なエクステンションの ID は、以下の通りである:
- blddohgncmehcepnokognejaaahehncd
- ccjalhebkdogpobnbdhfpincfeohonni
11月23日の早朝に、Roblox コミュニティのメンバーたちの間で、SearchBlox にマルウェアが含まれているという疑いが生まれた。
Roblox のニュースやコミュニティで、「人気プラグインの SearchBlox が、COMPROMISED / BACKDOORED になった。もしインストールしているなら、あなたのアカウントは危険な状況かもかもしれない。もし、そうなら、パスワードを変更してほしい」 と、非公式アカウント RTC はツイートしている。
分析のために、この Chrome エクステンションをダウンロードしたところ、20万人以上のユーザーがダウンロードした1つ目のエクステンション(blddohgncmehcepnoknejaaahehncd) では、”content.js” ファイルの3行目に、バックドアが存在することが判明した。
2番目のエクステンション (ccjalhebkdogpobnbdhfpincfeohonni) のダウンロード数は 959件だけだが、”button.js” ファイル内にバックドアは存在していた。
いずれの場合も、問題となるのは以下の URL である:
hxxps://searchblox[.]site/image.png/image.txt
URL の構造として ”image.png/image.txt” という部分は、それほど興味深いものではないが、このページには <img> タグを用いた、画像表示を装う HTML コードが含まれている。さらに、HTML文字エンティティ (& や #などの記号を使用) としてエンコードされた、難読化バージョンの JavaScript がロードされる。
このコードを解読すると、Roblo xの認証情報を別ドメイン (releasethen.site) へと流出さようとする、難読化されたコードが生成される。
ここで注目すべきは、’searchblox.site’ と ‘releasethen.site’ が、どちらも今月に登録され、共通の Web ホストとして Hostinger を共有しているという事実である。
また、このコードは、Roblox 取引プラットフォームである、Rolimons.com のプレイヤーのプロフィールを調査しているようだ。 この詳細は、以下のセクションで説明するが、今日になって2つのプラットフォームが停止されたことを考えると、相互の関連性が疑わしくなる。
SearchBlox は犯罪を繰り返している
残念ながら、悪意の SearchBlox エクステンションが、Roblox ユーザーを標的にするのは、今回が初めてというわけではない。
2022年6月28日以降において、Chrome Web ストアに置かれた、別のSearchBlox を削除したと、10月に Google は述べている。このバックドアは、システムに侵入した脅威アクターが注入したのか、それとも、開発者が意図的に導入したのかという点が、まだハッキリとは分かっていない。
このエクステンションの開発者だとされる Unstoppablelucent のインベントリが、一晩で増加したことに気付いた、Roblox コミュニティ・メンバー [1, 2, 3, 4] の間では、いくつかの憶測が飛び交っている。その一方で、ccfont のユーザーである Rolimons は、疑わしいインベントリ取引により、今日で終了した。
この悪意のエクステンションと、問題となっている URL の両方は、本稿執筆時点で VirusTotal の評価がクリーンであるため、これらの悪質なエクステンションの検出は極めて困難になっている。
SearchBlox をインストールしてしまったユーザーは直ちに削除し、クッキーを消去し、このエクステンションを使用している間にログインした Roblox/Rolimons などを含む Web サイトのパスワードを変更する必要があるだろう。
BleepingComputer は、このインシデントの公開前に、Google に対して悪質なエクステンションに関する通知を行った。その後に、Google の広報担当者が、これらのエクステンションの提供を停止し、また、インストールされたシステムからも自動的に削除されることを確認した。
Google は BleepingComputer に対して、「この、特定された悪意のエクステンションについては、Chrome Web ストアでの提供を停止した。また、ブロック・リストへの登録も行ったので、以前にダウンロードしたユーザーのマシンからも自動的に削除される」と回答している。
Update:2022年11月23日12時24分 (ET):公開から数時間後に届いた、Google からの声明を追加した。
Roblox を Wikipedia で調べてみたら、”online game platform and game creation system” と照会されていました。おそらく、MineCraft などと同じカテゴリに属するサービスなのでしょう。当然、その中で経済が回っていて、それを悪用するマルウェアやエクステンションが出没するという展開が推測されます、つい先日の 11月21日にポストした、「Chrome の悪意のエクステンション VenomSoftX:Google Sheets を装い暗号通貨を窃取 」とは違う世界でも、Chrome エクステンションの悪用が流行っているようです。
IoT OT Security News 
You must be logged in to post a comment.