Chrome

Chromeブラウザの拡張機能開発者をターゲットにしたフィッシング・キャンペーンについて、新たな詳細が明らかになった。このキャンペーンにより、サイバーセキュリティ企業Cyberhavenのものを含む、少なくとも35の拡張機能が侵害され、データを盗むコードが注入された。

当初の報道では、Cyberhavenのセキュリティに特化した拡張機能に焦点が当てられていたが、その後の調査により、およそ2,600,000人が使用する少なくとも35の拡張機能に同じコードが注入されていたことが判明した。

標的となった開発者からのLinkedInや Google Groupsでの報告によると、最新のキャンペーンは2024年12月5日頃に開始された。しかし、それ以前に発見されたコマンド&コントロールのサブドメインは、2024年3月にも存在していた。

「通常よりも洗練されたフィッシングメールが届き、Chrome Extensionのポリシー違反が記載されていました:Google GroupのChromium Extension’sグループへの投稿を読むと、「説明文に不必要な詳細が記載されています。

“このメールのリンクはウェブストアのように見えますが、クローム拡張機能を制御しようとするフィッシングサイトに行き、マルウェアでアップデートする可能性が高いです。”

偽のOAuth攻撃チェーン

この攻撃は、Chrome拡張機能の開発者に直接、またはそのドメイン名に関連するサポートメールを通じて送信されるフィッシングメールから始まります。

このキャンペーンでは、以下のドメインがフィッシングメールの送信に使用されています:

supportchromestore.com forextensions.com chromeforextension.com

フィッシングメールは、あたかもGoogleからのものであるかのように見せかけ、拡張機能がChromeウェブストアのポリシーに違反しており、削除される危険性があると主張している。

「拡張機能の説明、開発者名、タイトル、アイコン、スクリーンショット、プロモーション画像など(ただしこれらに限定されない)、誤解を招くような、書式が不十分な、説明的でない、無関係な、過剰な、または不適切なメタデータを含む拡張機能は許可していません」とフィッシングメールは書かれている。

具体的には、拡張機能の開発者は、自分のソフトウェアの説明に誤解を招く情報が含まれており、Chromeウェブストアのポリシーに同意しなければならないと信じ込まされる。

The phishing email used in the attack
攻撃に使用されたフィッシングメール
ソースはこちら:Google グループ

開発者がどのルールに違反したかを理解しようとして埋め込まれた「Go To Policy」ボタンをクリックすると、Googleのドメイン上にある悪意のあるOAuthアプリケーションの正当なログインページに誘導される。

このページはGoogleの標準的な認証フローの一部であり、特定のGoogleアカウントリソースへのアクセス許可をサードパーティアプリに安全に付与するために設計されています。

The malicious landing page hosted on Google
悪意のある認証リクエスト
サイバーヘイブン

そのプラットフォーム上で、攻撃者は “Privacy Policy Extension “という名前の悪意のあるOAuthアプリケーションをホストし、被害者にアカウントを通じてChromeウェブストアの拡張機能を管理する許可を与えるよう求めていました。

「このアクセスを許可すると、Privacy Policy Extensionは以下のことが可能になります:このアクセスを許可すると、Privacy Policy Extension は次のことができるようになります: Chrome ウェブストアの拡張機能、テーマ、アプリ、およびアクセス可能なライセンスを確認、編集、更新、または公開します。

Permissions approval prompt
パーミッションの承認プロンプト
Source:サイバーヘイブン

OAuth認可フローでは直接の承認は必要なく、このプロセスはユーザーが許可する権限の範囲を完全に理解していることを前提としているため、多要素認証はアカウントの保護には役立たなかった。

「従業員は標準的なフローに従い、うっかり悪意のあるサードパーティアプリケーションを承認してしまった

「この従業員はGoogle Advanced Protectionを有効にしており、アカウントにMFAを適用していた。この従業員はMFAのプロンプトを受け取らなかった。従業員のGoogle認証情報は漏洩していなかった。

脅威行為者は、拡張機能開発者のアカウントにアクセスすると、Facebookアカウントからデータを盗むコードを含む2つの悪意のあるファイル、すなわち’worker.js’と’content.js’を含むように拡張機能を変更した。

乗っ取られた拡張機能は、その後Chromeウェブストアで「新しい」バージョンとして公開された。

Extension Totalは、このフィッシング・キャンペーンの影響を受けた35の拡張機能を追跡しているが、この攻撃によるIOCは、はるかに多くの拡張機能が標的にされたことを示している。

VirusTotalによると、たとえ攻撃に引っかからなかったとしても、脅威の主体は標的となった拡張機能のドメインを事前に登録していました。

ほとんどのドメインは11月と12月に作成されましたが、脅威行為者は2024年3月にこの攻撃をテストしていたことがわかりました。

Earlier subdomains used in the phishing campaign
フィッシング・キャンペーンで使用された以前のサブドメイン
ソースは こちら:

フェイスブックのビジネスアカウントを狙う

侵害されたマシンを分析したところ、攻撃者はポイズニングされた拡張機能のユーザーのFacebookアカウントを狙っていたことがわかりました。

具体的には、データを盗むコードは、ユーザーのFacebook ID、アクセストークン、アカウント情報、広告アカウント情報、ビジネスアカウントを取得しようとしました。

Facebook data stolen by hijacked extensions
ハイジャックされた拡張機能によって盗まれたFacebookデータ
ソースはこちら:サイバーヘイブン

さらに、悪意のあるコードは、Facebook.comでの被害者のインタラクションに特化したマウスクリックイベントリスナーを追加し、プラットフォームの2要素認証またはCAPTCHAメカニズムに関連するQRコード画像を探しました。

これは、Facebookアカウントの2FA保護をバイパスし、脅威行為者がそれをハイジャックすることを目的としていました。

盗まれた情報は、フェイスブックのクッキー、ユーザーエージェント文字列、フェイスブックID、マウスクリックイベントとともにパッケージ化され、攻撃者のコマンド&コントロール(C2)サーバーに流出する。

脅威者は、様々な攻撃経路を通じて フェイスブックのビジネス・アカウントを標的にし、被害者のクレジットからアカウントに直接支払いを行ったり、ソーシャルメディア・プラットフォーム上で偽情報やフィッシング・キャンペーンを行ったり、他者に販売することでアクセスを収益化したりしています。