200,000 人以上のユーザーがインストールした Chrome ブラウザ拡張機能「SearchBlox」に、Roblox 取引プラットフォームである Rolimons の資産だけでなく、Roblox 資格情報も盗むことができるバックドアが含まれていることが判明しました。
開発者によって意図的に導入された、または侵害後に導入されたバックドアの存在を示す拡張コードを分析することができました。
Chrome 拡張機能は Roblox プレイヤーを対象としています
BleepingCompuer によると、Chrome Web Store にある「SearchBlox」拡張機能が侵害されているようです。
Chrome での「SearchBlox」の検索結果は 2 つあります。これらの拡張機能は、「Roblox サーバーを検索して目的のプレーヤーを見つけることができます…非常に高速」であると主張していますが、どちらにもバックドアが含まれていました。
これらの安全でない拡張機能の ID は次のとおりです。
- blddohgncmehcepnokognejaaahehncd
- ccjalhebkdogpobnbdhfpincfeohonni
水曜日の早朝、マルウェアを含む SearchBlox の Roblox コミュニティ メンバーの間で疑惑が浮上しました。
「人気のプラグイン SearchBlox が侵害/バックドアされました。もし持っていれば、あなたのアカウントが危険にさらされる可能性があります」と、非公式の Roblox ニュースおよびコミュニティ アカウントである RTC がツイートしました。
「お持ちの場合はパスワードと資格情報を変更してください。そうすれば、アカウントが再び安全になります。」
分析のために Chrome 拡張機能をダウンロードしました。200,000 人を超えるユーザーがダウンロードした最初の拡張機能 (blddohgncmehcepnokognejaaaahehncd) では、「content.js」ファイルの 3 行目にバックドアが存在します。
2 番目の拡張機能 (ccjalhebkdogpobnbdhfpincfeohonni) の場合、ダウンロード数はわずか 959 回で、バックドアは「button.js」ファイル内に存在していました。
どちらの場合も問題のある URL は次のとおりです。
URL 構造「image.png/image.txt」自体にまだ関心がないかのように、ページには「<img>」タグを使用して画像を表示するふりをする HTML コードが含まれていますが、代わりに、さらにエンコードされた難読化された JavaScript が読み込まれます。 HTML 文字エンティティとして (「&」および「#」記号を使用):
コードをデコードすると難読化されたコードが生成され、Roblox の資格情報が別のドメインreleasethen.site に盗み出されているように見えます。
注目すべきは、「searchblox.site」と「releasethen.site」の両方が今月登録され、共通の Web ホストである Hostinger を共有しているという事実です。
このコードは、Roblox 取引プラットフォームである Rolimons.com でプレイヤーのプロフィールを調査しているようにも見えます。この詳細は、次のセクションで説明するように、プラットフォームでの今日のアカウント停止を考えると重要になります。
「SearchBlox」再犯者
残念ながら、悪意のある「SearchBlox」拡張機能が Roblox ユーザーを標的にしたのはこれが初めてではないようです。
10 月、Google は少なくとも2022 年 6 月 28 日以降、Chrome ウェブストアに存在していた別の「SearchBlox」を削除したと伝えられています。
バックドアが攻撃者によって侵害された後に拡張機能に挿入されたのか、それとも開発者によって意図的に導入されたのかについては、まだ正式に決定されていません。
ユーザー「Unstoppablelucent」のインベントリに気づいたRobloxコミュニティメンバー[ 1、2、3、4 ]の間でいくつかの推測があります.Rolimonsユーザー「 ccfont 」は疑わしいインベントリ取引で今日終了しましたが、拡張機能の開発者は一晩で増殖したとされています.
プラグインが稼働してから約 1 年後、20 万人以上のユーザーがプラグインをダウンロードした後、悪意のあるコードをプラグインに挿入し、できるだけ多くのアカウントをハッキングしようとする時が来たと判断しました。
— うちば (@UtibaOfficial) 2022年11月23日
この記事の執筆時点では、 拡張機能と問題のある URLの両方が VirusTotal でクリーンな評価を得ているため、これらの悪意のある拡張機能の検出は非常に困難になっています。
「SearchBlox」をインストールした人はすぐに拡張機能を削除し、Cookie をクリアして、Roblox、Rolimons、および拡張機能の使用中にログインした可能性のある他の Web サイトのパスワードを変更する必要があります。
は公開前に悪意のある拡張機能を Google に通知しました。
Comments