Facebook上の偽のBitwardenパスワード・マネージャー広告が、ブラウザから機密ユーザー・データを収集し盗む悪質なGoogle Chrome拡張機能をプッシュしている。
Bitwardenは、エンドツーエンドの暗号化、クロスプラットフォームのサポート、MFAの統合、ユーザーフレンドリーなインターフェイスを特徴とする「無料」階層を持つ人気のパスワードマネージャーアプリです。
そのユーザーベースはここ2、3年着実に伸びており、特に競合他社のセキュリティ侵害を受けて、多くの人が代替手段を探すようになった。
Bitwardenになりすました新たな不正広告キャンペーンがBitdefender Labsによって発見され、その研究者は、この作戦が2024年11月3日に開始されたと報告している。

Source:ビットディフェンダー
悪質なFacebook広告
Facebookの広告キャンペーンでは、ユーザーが「古いバージョンのBitwardenを使用している」と警告しており、パスワードを保護するためにすぐにプログラムをアップデートする必要がある。
広告に含まれるリンクは「chromewebstoredownload[.]com」で、「chromewebstore.google.com」にあるGoogleの公式Chromeウェブストアを装っている。
このランディングページには、「Chromeに追加」ボタンなど、Chromeウェブストアに酷似したデザインも採用されている。

Source:Bitdefender
しかし、リンクをクリックすると拡張機能が自動的にインストールされるのではなく、Google DriveのフォルダからZIPファイルをダウンロードするよう促される。
これは明らかに危険な兆候であるはずだが、Chrome ウェブストアに不慣れなユーザーは、ウェブページの指示に従って手動でインストールを進めることができる。
インストールにはChromeの「開発者モード」を有効にし、プログラム上で拡張機能を手動でサイドロードする必要があるため、基本的にセキュリティチェックはバイパスされる。
インストールされると、この拡張機能は「Bitwarden Password Manager」バージョン0.0.1として登録され、ユーザーの活動を傍受して操作することを可能にするパーミッションを確保する。
主な機能は以下の通りです:
- Facebookのクッキー、特にユーザーIDを含む「c_user」クッキーを収集します。
- 公開APIを使用してIPおよびジオロケーションデータを収集する。
- フェイスブックのグラフAPIを通じて、フェイスブックのユーザー詳細、アカウント情報、課金データを収集する
- ブラウザのDOMを操作し、正当性や欺瞞のために偽の読み込みメッセージを表示する。
- 機密データをエンコードし、攻撃者の制御下にある Google Script URL に送信する。
このリスクを軽減するため、ビットワーデンのユーザーには、拡張機能のアップデートを促す広告を無視することをお勧めします。
拡張機能は、Googleの公式ウェブストアを経由するか、プロジェクトの公式ウェブサイト(この場合はbitwarden.com)からのリンクをたどってインストールする必要があります。
新しい拡張機能をインストールする際は、常に要求されたアクセス許可を確認し、Cookie、ネットワーク要求、Webサイトデータへのアクセスを含む過度に攻撃的な要求には、強い疑いをもって対処してください。
Comments