Google Chromeの拡張機能が、ユーザのアクティビティ履歴の追跡と個人情報の窃取を目的とした不正活動で使用されていたことが、セキュリティ企業「Awake」によって報告されました。この不正活動のコマンドアンドコントロール(C&C)のインフラとして、正規レジストラで取得したドメインを使用している不正なChrome拡張機能111個が3カ月間で確認されました。2020年5月初旬の調査時点で、これらの不正な拡張機能は約3,300万件ダウンロードされていました。トレンドマイクロでも同様の手法を使う攻撃のレポートを2020年5月に報告しておりましたが、不正なブラウザの拡張機能の利用と攻撃のためのインフラについて共通点がありましたので紹介します。
今回確認された不正活動のキャンペーンでは、マルウェアや偵察ツールをホストするために、イスラエルのドメイン登録事業者(レジストラ)「CommuniGal Communication Ltd(Galcomm)」で登録された約15,160のドメインが使用されていました。これは、同じGalcommで登録された到達可能ドメインの総数26,079の、ほぼ60%に相当します。とはいえ、GalcommのオーナーであるMoshe Fogel氏はロイター通信社とのやり取りの中で、Galcommは不正な活動に一切関与しておらず、逆に法執行機関やセキュリティ企業と協力して不正活動の抑止に努めている、と主張しています。
確認された不正活動は、サンドボックス、エンドポイントセキュリティソリューション、ドメインレピュテーションエンジンなどによる検出を回避することに成功していました。影響を受けた業界は、金融、石油およびガス、メディア、ヘルスケア、小売、テクノロジー、教育と政府機関が含まれます。
■過去の調査との繋がりが明らかに
トレンドマイクロでは今年2020年5月に、悪質なモジュール型アドウェア「DealPly」、「IsErik」、「ManageX」に関する調査結果を報告しました。その中で活動には不正なChrome拡張機能が密接に関わっていることに触れています。また、Firefoxユーザを標的とした不正な拡張機能も確認されており、それらの一部はリモートサーバからコードをロードできることと、攻撃に関連している可能性があるGalcommで登録されたドメインについても言及し、根本原因分析(RCA)を提出していました。
Awakeは、攻撃キャンペーンで使用されていたAppIDの詳細なリストを公開しています。以下は、以前の解析で確認された他の2つのAppIDです。
- bgbeocleofdgkldamjapfgcglnmhmjgb
- ncjbeingokdeimlmolagjaddccfdlkbd
問題の不正な拡張機能は、ユーザの同意なしに、スクリーンショットをキャプチャし、クリップボードを読み取り、ユーザのキー入力操作情報を収集し、認証トークンを取得する可能性があります。この攻撃に関連付けられているマルウェア「MANAGEX」亜種の、類似した不正活動について「Trojan.JS.MANAGEX.A」のウイルス情報で確認できますが、以下に挙げるようなChrome APIへのアクセス権限を許可することが確認されています。(詳細については、ウイルス情報を参照してください)
- browsingData
- cookies
- desktopCapture
- geolocation
- history
- management
過去に検出されているアドウェア「Dealply」の亜種である、「ADW_DEALPLY」および「Adware.JS.DEALPLY.SMMR」も、この攻撃キャンペーンに関連付いています。
■被害に遭わないためには
不正な拡張機能は、さらに強力な脅威へと変化し続けています。従来のセキュリティメカニズムを迂回したり、リモートサーバからコードを読み込んだりするなど、よりステルスな手法が時間の経過とともに開発されてきています。組織は検出に焦点を当てるだけでなく、長期的にこれらの脅威の戦術、手法、手順を常に監視し、脅威の挙動をよく理解し、侵入を防御する必要があります。
■トレンドマイクロの対策
「Trend Micro XDR」のセキュリティサービスは、Managed XDRチームによる24時間年中無休の監視と専門家による分析を提供することで、セキュリティを強化します。これには、メール、エンドポイント、サーバ、クラウドワークロード、およびネットワークが含まれます。チームは高度な分析と人工知能(AI)技術を使用して、アラートを相関させ、深刻度のレベルに応じて優先順位を付けます。これにより、企業は攻撃がどのように開始され、どの程度拡散しているかを理解し、これらの脅威に対処するための手段を定めることが可能です
参考記事:
- 「Malicious Chrome Extensions, Domains Used to Steal User Data」
By Trend Micro
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)