Browser Syncjacking」と呼ばれる新しい攻撃は、一見良さそうに見えるChrome拡張機能を使用して被害者のデバイスを乗っ取る可能性を示している。
SquareXのセキュリティ研究者によって発見されたこの新しい攻撃方法は、Googleプロファイルのハイジャック、ブラウザのハイジャック、そして最終的にはデバイスの乗っ取りなど、いくつかの段階を踏む。
複数の段階を経ているにもかかわらず、この攻撃はステルス的で、必要なパーミッションは最小限であり、正規のChrome拡張機能のように見えるものをインストールする以外、被害者が行う操作はほとんどありません。
シンクジャッキングの段階
攻撃者はまず、悪意のあるGoogle Workspaceドメインを作成し、多要素認証などのセキュリティ機能を無効にした複数のユーザープロファイルを設定します。このWorkspaceドメインは、被害者のデバイス上に管理されたプロファイルを作成するためにバックグラウンドで使用されます。
そして、正規の機能を持つ便利なツールのように見せかけたブラウザ拡張機能を、Chromeウェブストアで公開します。
攻撃者はソーシャルエンジニアリングを使って被害者を騙し、この拡張機能をインストールさせます。この拡張機能は、バックグラウンドで実行されている隠しブラウザウィンドウで、攻撃者が管理するGoogle Workspaceプロファイルの1つに被害者を静かにログインさせます。
その後、この拡張機能は正規のGoogleサポートページを開きます。この拡張機能にはウェブページの読み書き権限があるため、ページにコンテンツを挿入し、Chrome同期を有効にするようユーザーに指示します。
ソースはこちら:SquareX
同期されると、パスワードや閲覧履歴を含むすべての保存データに攻撃者がアクセスできるようになり、攻撃者は侵害されたプロファイルを自分のデバイスで使用できるようになります。
出典:SquareX:SquareX
SquareXのデモでは、偽のZoomアップデートを使用します。
Source: SquareX:SquareX
研究者が取り上げたシナリオでは、Zoomの招待を受けた人がそれをクリックしてZoomのウェブページに移動すると、代わりに拡張機能がZoomクライアントをアップデートする必要があるという悪意のあるコンテンツを注入します。
しかし、このダウンロードは登録トークンを含む実行可能ファイルであり、攻撃者は被害者のブラウザを完全に制御することができる。
「いったん登録されると、攻撃者は被害者のブラウザを完全にコントロールできるようになり、すべてのウェブアプリへのサイレントアクセス、悪意のある拡張機能の追加インストール、フィッシングサイトへのリダイレクト、ファイルのダウンロードの監視/変更など、さまざまなことが可能になります」とSquareXの研究者は説明しています。
ChromeのNative Messaging APIを活用することで、攻撃者は悪意のある拡張機能と被害者のオペレーティングシステムとの間に直接通信チャネルを確立することができます。
これにより、ディレクトリのブラウズ、ファイルの変更、マルウェアのインストール、任意のコマンドの実行、キー入力のキャプチャ、機密データの抽出、さらにはウェブカメラとマイクの起動が可能になります。
Source:SquareX
SquareXは、この攻撃のステルス性と強力な性質を強調し、ほとんどのユーザーが異変に気づくことがいかに難しいかを強調している。
「入念なソーシャル・エンジニアリングを伴うこれまでの拡張攻撃とは異なり、敵は最小限の権限とわずかなソーシャル・エンジニアリングのステップを必要とするだけで、この攻撃を実行するのに必要なユーザーとの対話はほとんどありません。
「被害者が極度のセキュリティ偏執狂で、Chromeの設定を常にナビゲートして管理されたブラウザのラベルを探すほど技術に精通していない限り、ブラウザが乗っ取られたことを視覚的に示すものはない。
Chromeの拡張機能は、しばしば孤立したリスクとして認識されているが、何百万人が使用する合法的な拡張機能に影響を与えるハイジャックの波のような最近の出来事は、そうでないことを証明した。
この新しい攻撃についてグーグルに問い合わせ、返答があれば記事を更新する。
Comments