Windows Centralは12月7日(現地時間)、「Chrome & Edge spyware scheme exposed|Windows Central」において、悪意のあるWebブラウザの拡張機能について注意を喚起した。

脅威アクター「ShadyPanda」は2018年ごろから複数の無害なChromeおよびEdge向け拡張機能を提供し、2年ほど前から拡張機能を武器化したという。攻撃活動は拡張機能ごとに異なり、リモートコード実行(RCE: Remote Code Execution)を含むバックドアや、スパイウェアなどを配布したとされる。

長期にわたる攻撃計画の脅威

このことはイスラエルに拠点を置くセキュリティ企業Koi Securityの調査により明らかになった。同社は公開した調査レポートにおいて、430万人のChromeおよびEdgeユーザーが被害を受けた可能性を伝えている(参考:「4.3 Million Browsers Infected: Inside ShadyPanda's 7-Year Malware Campaign | Koi Blog」)。

同レポートによると、マルウェアへと変貌した拡張機能は合計で159件。そのうち145件は2023年に展開され、アフェリエイト詐欺に用いられたという。この詐欺では被害者がeBay、Amazon、Booking.comにアクセスするとアフェリエイトトラッキングコードが挿入され、商品を購入するたびに攻撃者に報酬が支払われたとされる。

2024年初頭に確認された攻撃では検索ハイジャックが実行され、ユーザーの検索クエリが販売されている。この攻撃では検索ボックスに入力したすべてのキーストロークが窃取され、部分的な検索クエリ、タイプミス、修正操作の分析に基づいたユーザーのプロファイリングが実施されたとみられている。

これら拡張機能はいずれも数カ月以内に発見され削除されている。そのためか、2024年中頃の攻撃では検出の回避機能が追加、さらにバックドアへと進化して任意の攻撃を実行したとされる。

拡張機能は個別に削除する必要あり

Windows Centralによると、ShadyPandaに関係する悪意のある拡張機能はChromeおよびEdgeのアドオンストアから削除済みとされる。しかしながら、Webブラウザにインストールした拡張機能は現存しており、ユーザーは手動でアンインストールする必要があるという。

中でも、最近の攻撃で悪用された拡張機能「WeTab 新标签页(WeTab New Tab Page)」は300万回のダウンロード実績があるとして注意を呼びかけている。この拡張機能は「Starlab Technology」により開発されており、この開発者の拡張機能はすべて削除するように推奨している。

最後に、ShadyPandaの開発した拡張機能はWebブラウザのストレージ領域に永続的な識別子を残すことが判明している。攻撃者はこの識別子を使用してユーザーを追跡することが可能なため、過去に悪意のある拡張機能をインストールしたことのあるユーザーは、Webブラウザのプロファイルをリセットすることが推奨されている。