Facebook アカウント・ハイジャック:悪意の ChatGPT Chrome エクステンションが導線

Facebook accounts hijacked by new malicious ChatGPT Chrome extension

2023/03/22 BleepingComputer — 正規の ChatGPT Extension for Chrome のトロイの木馬バージョンが、Chrome Web Store で人気を博しており、9,000 回以上のダウンロードを達成し、Facebook アカウントを盗み続けている。この Chrome エクステンションは、検索結果に ChatGPT の統合を提供する ChatGPT for Google という名前の、正規の Chrome アドオンをコピーしたものだ。そして、この悪意のバージョンは、Facebook のセッション・クッキーを盗み出すための追加コードを含んでいる。

この悪意のアドオンは、2023年2月14日に Chrome Web Store にアップロードされたが、Google 検索広告を使ったプロモーションが開始されたのは、2023年3月14日である。それ以来、1日あたり平均で 1000件のインストールが積み上げられている。


この悪意のエクステンションを発見した Guardio Labs の研究者である Nati Tal は、今月の初めに別の Chrome アドオンが使用していたインフラを介して、通信が行われていると報告している。ちなみに、この悪意のアドオンは、Google により Chrome Web Store から削除される前に、4,000 回のインストールを達成しているという。

したがって、この新種は、同じキャンペーンの一部と考えられ、最初の悪意のエクステンションが削除されたときのためのバックアップとして、Chrome Web Store に置かれていたと考えられる。

Facebook アカウントをターゲットに

この悪意のエクステンションは、Google 検索結果で “Chat GPT 4” で検索すると、広告を通じて目立つように表示される。

そのスポンサード・サーチの結果をクリックすると、ユーザーは偽の ChatGPT for Google ランディング・ページへと移動し、そこから Chrome の公式アドオンストアのエクステンション・ページに移動する。

そして、被害者が、この正規のコードが残されているエクステンションをインストールすると、約束された機能 (検索結果での ChatGPT の統合) が得られる。しかし、この悪意のあるアドオンは、Facebook アカウントのセッション・クッキーを盗もうとする。

Infection chain
Infection chain (Guardio Labs)

具体的に言うと、このエクステンションに含まれる悪意のコードは、OnInstalled ハンドラ関数を用いて Facebook のセッション・クッキーを盗む。

こうして、クッキーを盗むことで、ユーザーになりすました脅威アクターは Facebook アカウントにログインし、あらゆるビジネス広告機能をなど含むプロフィールに、完全にアクセスすることが可能となる。

このマルウェアは、Chrome Extension API を悪用して Facebook 関連のクッキー・リストを取得し、AES キーを用いて暗号化を行う。その後に、攻撃者のサーバーへの GET リクエストを介して、盗んだデータを流出させる。

Retrieving list of cookies from Google Chrome
Retrieving list of cookies from Google Chrome (Guardio Labs)

Guardio Labs のレポートには、「このクッキー・リストは AES で暗号化され、X-Cached-Key HTTP ヘッダー値に添付される。この技術は、DPI (Deep Packet Inspection) メカニズムによるパケット・ペイロードのアラートを回避して、秘密裏にクッキーを流出させるために使用されている」と記されている。

そして、脅威アクターは盗んだクッキーを解読し、被害者の Facebook セッションを乗っ取っり、悪質なキャンペーンなどを行うようになる。たとえば、ISIS のプロパガンダのような、禁止されているコンテンツを宣伝することも可能だ。

Facebook page of an RV seller taken over by the attacker
Facebook page of an RV seller taken over by the attacker (Guardio Labs)

このマルウェアは、侵入したアカウントのログイン情報を自動的に変更し、Facebook アカウントのコントロールを、被害者が取り戻せないようにする。また、プロフィール名と写真を “Lilly Collins” という名前の偽の人物に切り替える。

現時点において、この悪意の Google Chrome エクステンションは、Google Chrome Web Store に存在している。しかし、セキュリティ研究者たちが、この悪意のエクステンションについて、Chrome Web Store チームに報告したことで、近日中に削除される可能性が高いと思われる。

残念なことに、これまでの経緯から、今回の脅威アクターは、次の感染の波を促進するプラン C を持っている可能性が高いとされる。

BleepingComputer は、この悪意のエクステンションについて、さらなる質問を Google に送ったが、すぐには回答が得られていない。

Chrome エクステンションを狙うマルウェアは、2022年を通じて何件かのインシデントを発生させてきました。ここも、新たな攻撃ベクターとして注意する必要があると言われています。そこに、ChatGPT ブームを重ね合わせた、新たなトロイの木馬が登場したという状況です。なお、ChatGPT の偽アプリ/偽ドメインは、2023年2月に、すでに登場しています。

2022/11/23:Chrome に悪意のエクステンション Roblox
2022/11/21:Chrome に悪意のエクステンション VenomSoftX
2022/08/30:悪意のエクステンション:140万人分の情報を盗む
2022/01/26:Chaes というバンキング・トロイの木馬
2021/12/06:Magnat マルウェア:Chrome エクステンション

%d bloggers like this: