roblox

200,000 人以上のユーザーがインストールした Chrome ブラウザ拡張機能「SearchBlox」に、Roblox 取引プラットフォームである Rolimons の資産だけでなく、Roblox 資格情報も盗むことができるバックドアが含まれていることが判明しました。

開発者によって意図的に導入された、または侵害後に導入されたバックドアの存在を示す拡張コードを分析することができました。

Chrome 拡張機能は Roblox プレイヤーを対象としています

BleepingCompuer によると、Chrome Web Store にある「SearchBlox」拡張機能が侵害されているようです。

Chrome での「SearchBlox」の検索結果は 2 つあります。これらの拡張機能は、「Roblox サーバーを検索して目的のプレーヤーを見つけることができます…非常に高速」であると主張していますが、どちらにもバックドアが含まれていました。

これらの安全でない拡張機能の ID は次のとおりです。

  • blddohgncmehcepnokognejaaahehncd
  • ccjalhebkdogpobnbdhfpincfeohonni
Chrome 上の悪意のある SearchBlox 拡張機能
Chrome 上の悪意のある SearchBlox 拡張機能()

水曜日の早朝、マルウェアを含む SearchBlox の Roblox コミュニティ メンバーの間で疑惑が浮上しました。

「人気のプラグイン SearchBlox が侵害/バックドアされました。もし持っていれば、あなたのアカウントが危険にさらされる可能性があります」と、非公式の Roblox ニュースおよびコミュニティ アカウントである RTC がツイートしました。

「お持ちの場合はパスワードと資格情報を変更してください。そうすれば、アカウントが再び安全になります。」

分析のために Chrome 拡張機能をダウンロードしました。200,000 人を超えるユーザーがダウンロードした最初の拡張機能 (blddohgncmehcepnokognejaaaahehncd) では、「content.js」ファイルの 3 行目にバックドアが存在します。

Chrome 拡張 SearchBlox 内のバックドア
Chrome 拡張機能「SearchBlox」内のバックドア()

2 番目の拡張機能 (ccjalhebkdogpobnbdhfpincfeohonni) の場合、ダウンロード数はわずか 959 回で、バックドアは「button.js」ファイル内に存在していました。

どちらの場合も問題のある URL は次のとおりです。

hxxps://searchblox[.]site/image.png/image.txt

URL 構造「image.png/image.txt」自体にまだ関心がないかのように、ページには「<img>」タグを使用して画像を表示するふりをする HTML コードが含まれていますが、代わりに、さらにエンコードされた難読化された JavaScript が読み込まれます。 HTML 文字エンティティとして (「&」および「#」記号を使用):

疑わしい HTML JS コード
画像 () を表示しようとする HTML が含まれているふりをするページ

コードをデコードすると難読化されたコードが生成され、Roblox の資格情報が別のドメインreleasethen.site に盗み出されているように見えます。

roblox クレデンシャルを収集する別の問題ドメイン
拡張機能 () によって使用されている別の疑わしいドメイン

注目すべきは、「searchblox.site」と「releasethen.site」の両方が今月登録され、共通の Web ホストである Hostinger を共有しているという事実です。

このコードは、Roblox 取引プラットフォームである Rolimons.com でプレイヤーのプロフィールを調査しているようにも見えます。この詳細は、次のセクションで説明するように、プラットフォームでの今日のアカウント停止を考えると重要になります。

「SearchBlox」再犯者

残念ながら、悪意のある「SearchBlox」拡張機能が Roblox ユーザーを標的にしたのはこれが初めてではないようです。

10 月、Google は少なくとも2022 年 6 月 28 日以降、Chrome ウェブストアに存在していた別の「SearchBlox」を削除したと伝えられています。

バックドアが攻撃者によって侵害された後に拡張機能に挿入されたのか、それとも開発者によって意図的に導入されたのかについては、まだ正式に決定されていません。

ユーザー「Unstoppablelucent」のインベントリに気づいたRobloxコミュニティメンバー[ 1、2、3、4 ]の間でいくつかの推測があります.Rolimonsユーザー「 ccfont 」は疑わしいインベントリ取引で今日終了しましたが、拡張機能の開発者は一晩で増殖したとされています.

この記事の執筆時点では、 拡張機能問題のある URLの両方が VirusTotal でクリーンな評価を得ているため、これらの悪意のある拡張機能の検出は非常に困難になっています。

「SearchBlox」をインストールした人はすぐに拡張機能を削除し、Cookie をクリアして、Roblox、Rolimons、および拡張機能の使用中にログインした可能性のある他の Web サイトのパスワードを変更する必要があります。

は公開前に悪意のある拡張機能を Google に通知しました。