Chrome

Facebook上の偽のBitwardenパスワード・マネージャー広告が、ブラウザから機密ユーザー・データを収集し盗む悪質なGoogle Chrome拡張機能をプッシュしている。

Bitwardenは、エンドツーエンドの暗号化、クロスプラットフォームのサポート、MFAの統合、ユーザーフレンドリーなインターフェイスを特徴とする「無料」階層を持つ人気のパスワードマネージャーアプリです。

そのユーザーベースはここ2、3年着実に伸びており、特に競合他社のセキュリティ侵害を受けて、多くの人が代替手段を探すようになった。

Bitwardenになりすました新たな不正広告キャンペーンがBitdefender Labsによって発見され、その研究者は、この作戦が2024年11月3日に開始されたと報告している。

Multiple ads of the same campaign
同じキャンペーンの複数の広告
Source:ビットディフェンダー

悪質なFacebook広告

Facebookの広告キャンペーンでは、ユーザーが「古いバージョンのBitwardenを使用している」と警告しており、パスワードを保護するためにすぐにプログラムをアップデートする必要がある。

広告に含まれるリンクは「chromewebstoredownload[.]com」で、「chromewebstore.google.com」にあるGoogleの公式Chromeウェブストアを装っている。

このランディングページには、「Chromeに追加」ボタンなど、Chromeウェブストアに酷似したデザインも採用されている。

Malicious website mimicking the real Google web store
本物の Google ウェブストアを模倣した悪質なウェブサイト
Source:Bitdefender

しかし、リンクをクリックすると拡張機能が自動的にインストールされるのではなく、Google DriveのフォルダからZIPファイルをダウンロードするよう促される。

これは明らかに危険な兆候であるはずだが、Chrome ウェブストアに不慣れなユーザーは、ウェブページの指示に従って手動でインストールを進めることができる。

インストールにはChromeの「開発者モード」を有効にし、プログラム上で拡張機能を手動でサイドロードする必要があるため、基本的にセキュリティチェックはバイパスされる。

インストールされると、この拡張機能は「Bitwarden Password Manager」バージョン0.0.1として登録され、ユーザーの活動を傍受して操作することを可能にするパーミッションを確保する。

主な機能は以下の通りです:

  • Facebookのクッキー、特にユーザーIDを含む「c_user」クッキーを収集します。
  • 公開APIを使用してIPおよびジオロケーションデータを収集する。
  • フェイスブックのグラフAPIを通じて、フェイスブックのユーザー詳細、アカウント情報、課金データを収集する
  • ブラウザのDOMを操作し、正当性や欺瞞のために偽の読み込みメッセージを表示する。
  • 機密データをエンコードし、攻撃者の制御下にある Google Script URL に送信する。

このリスクを軽減するため、ビットワーデンのユーザーには、拡張機能のアップデートを促す広告を無視することをお勧めします。

拡張機能は、Googleの公式ウェブストアを経由するか、プロジェクトの公式ウェブサイト(この場合はbitwarden.com)からのリンクをたどってインストールする必要があります。

新しい拡張機能をインストールする際は、常に要求されたアクセス許可を確認し、Cookie、ネットワーク要求、Webサイトデータへのアクセスを含む過度に攻撃的な要求には、強い疑いをもって対処してください。