悪意の VPN Chrome エクステンション:すでに 150万回インストールされている

Fake VPN Chrome extensions force-installed 1.5 million times

2023/12/22 BleepingComputer — VPN (Virtual Private Networks) を装う悪意の Chrome エクステンションが、150万回もダウンロードされていることが判明した。この悪意のエクステンションは、ブラウザ・ハイジャッカー/キャッシュバック・ハックツール/データ・スティーラーとしての、3つの機能を有しているという。この悪質なエクステンションを発見した ReasonLabs によると、それらのエクステンションは、Grand Theft Auto/Assassins Creed/The Sims 4 などの、人気ビデオゲームの海賊版に隠されたインストーラーを介して、多数のサイトから拡散しているという。

ReasonLabs が Google に通知したことで、Chrome ストアから問題のエクステンションは削除されたが、すでに合計で 150万ダウンロードされた後であったという。

悪質なエクステンションの、それぞれのインストール数は netPlus は 100万、netSave/netWin は 50万だった。ほとんどの感染はロシア/ウクライナ/カザフスタン/ベラルーシなどで発生しており、このキャンペーンはロシア語話者のユーザーを、ターゲットにしていると見られている。

netPlus infections over time
netPlus の経時的な感染 (ReasonLabs)
偽の VPN エクステンションを仕掛ける

ReasonLabs が発見したのは、60〜100MB のサイズのアプリを構成する、悪意のインストーラ・ファイルを配信する、1000種類以上のトレント・ファイルである。

VPN エクステンションのインストールは、自動的かつ強制的にレジストリ・レベルで行われ、ユーザーを巻き込むことも、被害者側のアクションを要求することもない。

最終的に、インストーラーは感染したマシン上のアンチウイルス製品をチェックして、Google Chrome の場合は netSave を、Microsoft Edge の場合は netPlus をドロップする。

AV check
AV チェック (ReasonLabs)

それらの悪意のエクステンションは、いくつかの機能を備えた現実的な VPN ユーザー・インターフェースを使用し、本物であるかのような感覚を作り出すために、有料のサブスクリプション・オプションを使用している。

コード分析によると、このエクステンションがアクセスできる対象は、tabs/storage/proxy/webRequest/webRequestBlocking/declarativeNetRequest/scripting/alarms/cookies/activeTab/management/offscreen  などにも及ぶという。

ReasonLabsは、offscreen パーミッションの悪用により、このマルウェアは Offscreen API を通じてスクリプトを実行し、Web ページのカレント DOM (Document Object Model) にも、秘密裏にアクセスできると指摘している。

この、DOM への広範なアクセスにより、悪意ののエクステンションが実行できるものには、機密性の高いユーザー・データの窃取/ブラウジング・ハイジャックの実行/Web リクエストの操作/ブラウザにインストールされている他のエクステンションの無効化などがある。

このエクステンションの、もう1つの機能は、他のキャッシュバックやクーポンのエクステンションを無効化することで、感染したデバイス上の競合を排除し、攻撃者に利益を転嫁することである。

ReasonLabs のレポートによると、このマルウェアは、100以上のキャッシュバック拡張機能をターゲットにしているという。それらのターゲットには、Avast SafePrice/AVG SafePrice/Honey: Automatic Coupons & Rewards/LetyShops/Megabonus/AliRadar Shopping Assistant/Yandex.Market Adviser/ChinaHelper/Backlit などが含まれている。

エクステンションと C2 (Command and Control) サーバとの通信により、指示やコマンドに関するデータが交換されるが、それと同時に、被害者の身元確認/機密データなどが流出していく。

このレポートは、Web ブラウザ・エクステンションに関する深刻なセキュリティ問題を浮き彫りにしている。その多くは、高度に難読化されており、どのような挙動を示すのかを判別するのが難しくなっている。

そのため、ユーザーにとって必要なことは、ブラウザにインストールされているエクステンションの定期的なチェックおよび、Chrome ストアの新しいレビューのチェック、他のユーザーによる悪意の動作の報告などの確認となる。

2023年の顕著な傾向に、悪意の Chrome エクステンションの台頭がありました。今回は、VPN を装う悪意の Chrome エクステンションが、150万回もダウンロードされたというニュースですが、それ以外にも、たくさんの問題が明らかになっています。よろしければ、Chrome + Extension で検索も、ご利用ください。