100+ Fake Chrome Extensions Found Hijacking Sessions, Stealing Credentials, Injecting Ads
2025/05/20 TheHackerNews — 2024年2月以降において、正体不明の脅威アクターが作成した悪意の Chrome エクステンション群は、無害に見えるユーティリティを装いながら、データの窃取/コマンドの受信/任意コードの実行といった機能を隠し持っている。
DomainTools Intelligence (DTI) チームは、「この脅威アクターが作成する Web サイトは、正規サービス/生産性向上ツール/メディア作成/分析アシスタント/VPN サービス/暗号通貨/バンキングなどのサービスなどを装うものであり、Google の Chrome Web Store (CWS) から悪意のエクステンションをインストールするよう、ユーザーを誘導している」と、The Hacker News に共有したレポートで述べている。
これらのブラウザ・アドオンは、彼らの言う機能を提供するように見えるが、認証情報や Cookie の窃取/セッション・ハイジャック/広告インジェクション/悪質なリダイレクト/トラフィック操作/DOM 操作によるフィッシングといった機能も備えている。
これらのエクステンションを助長するもう一つの要因は、”manifest.json” ファイルを介した過剰な権限の付与がコンフィグされていることである。それにより、ブラウザでアクセスした全サイトとのインタラクション/攻撃者が管理するドメインから取得した任意のコードの実行/悪意のリダイレクトの実行に加えて、広告の不正挿入まで可能になるという。
これらのエクステンションが、テンポラリ DOM (document object model) の “onreset” イベント・ハンドラを介して、悪意のコードを実行していることも判明している。つまり、それにより、CSP (content security policy) の回避を狙っていると考えられる。
特定された悪意への誘導 Web サイトの中には、DeepSeek/Manus/DeBank/FortiVPN/Site Stats といった正規のサービスなどを装うものもあり、フェイク・エクステンションダウンロードとインストールを、ユーザーに促している。その後に、これらの悪意のアドオンは、ブラウザの Cookie を収集し、リモート・サーバから任意のスクリプトを取得し、トラフィック・ルーティング用のネットワーク・プロキシとして機能する、WebSocket 接続を確立する。
現時点において、偽サイトへと被害者がリダイレクトされる仕組みは不明だが、フィッシングやソーシャルメディアといった一般的な手法が利用されている可能性もあると、DomainTools は述べている。
同社は、「これらの偽サイトは、Chrome Web Store にも表示されるが、関連 Web サイトも存在するため、Chrome ストア内での検索の結果としてだけではなく、通常の Web 検索の結果として表示される可能性がある。多くの誘導 Web サイトは、Facebook のトラッキング ID を使用しているため、何らかの方法で Facebook/Meta アプリを利用して、サイト訪問者を誘引していることを強く示唆される。つまり、Facebook の Page/Group/Ads などを通じて、誘導されている可能性がある」と指摘している。
この記事の執筆時点では、このキャンペーンを背後で操る人物は不明だが、この脅威アクターは 100件を超える偽 Web サイトと悪意の Chrome エクステンションを作成している。なお、すでに Google は、これらのエクステンションを削除している。
リスクを軽減するために、ユーザーに対して推奨されるのは、何らかのエクステンションをダウンロードする前に、認証済みの開発者が提供する製品のみを使用するよう確認することである。さらに、要求される権限を確認し、レビューを精査し、やみくもにエクステンション数を増やさないことも気にかけてほしい。
とは言え、否定的なユーザー・フィードバックをフィルタリングし、人為的に評価を高めるように操作される可能性もあるため、そのことを念頭に置く必要がある。
2025年4月末に公開した分析で DomainTools は、「DeepSeek を装う悪意のエクステンションが、低い評価 (スター:1~3) を付けたユーザーを、”ai-chat-bot[.]pro” ドメインの非公開フィードバック・フォームにリダイレクトしていた。その一方で、高い評価 (スター:4~5) を付けたユーザーは、Chrome Web Stote の公式レビュー・ページに誘導されていた。その証拠を発見している」と述べている。
脅威アクターが 100件以上の偽の Web サイトと悪意の Chrome エクステンションを作成しているとのことですが、Google も対策を続けているとはいえ、まさに“いたちごっこ”のようですね。こうした脅威が、完全になくなることは難しいのでしょう。よろしければ、Chrome で検索も、ご参照ください。
2025/03/10:Chrome:ポリモーフィック手法で情報窃取
2025/02/21:Google Chrome の段階的な Manifest V3 移行
IoT OT Security News 
You must be logged in to post a comment.