偽の VPN ブラウザ拡張機能が Chrome と Firefox のクリップボード データをハイジャックする

無料の VPN サービスを装った 2 つの人気のあるブラウザ拡張機能が、ユーザーのクリップボード データを盗んでいたことが捕まりました。 Chrome と Firefox のアドオンは、プロキシ機能を正常に見せるために機能させたまま、ユーザーがコピーしたすべてのものを密かに収集しました。

拡張機能は VPN Go ブランドで運用されていました。発見時点では、Chrome バージョンのアクティブなインストール数は約 146 でしたが、Firefox バージョンのユーザー数は 3,499 人でした。 Socket は、開発者優先の新興サイバーセキュリティ プラットフォームです。について両方のブラウザ ベンダーに通知しました悪意のあるアドオンを発見し、公式ストアからの削除を要求しました。

開発者は、通常のアップデートのように見えるものを通じてクリップボードの盗難を導入しました。この Chrome 拡張機能は、昨年 12 月にリリースされた当初はクリーンなプロキシ ツールとして機能していました。この悪意のあるコードは、今年 5 月末に公開された新しいバージョンに含まれていました。

多くの人が習慣的に個人データやパスワードをクリップボードにコピーしているため、クリップボード泥棒は特に危険です。攻撃者は、オペレーティング システム自体ではなくブラウザの権限を悪用することで、ユーザーにほとんど、またはまったく見えない状態でこれらの秘密を取得できます。

悪意のある拡張機能がどのように動作したか

Chrome 拡張機能の悪意のあるコードは、ユーザーがアクセスしたすべての Web サイトで有効になりました。新しいコンテンツがないかクリップボードを 0.5 秒ごとにチェックしました。スクリプトはコピーされたテキストをセグメントに分割し、一意のセッション マーカーを作成しました。その後、すべてをバックグラウンド ハンドラーに転送し、バックグラウンド ハンドラーがそれを送信しました。

この拡張機能は重複したエントリを無視するため、同じコンテンツを複数回アップロードすることができませんでした。開発者は、検出を回避し、不審なネットワーク トラフィックを減らすためにこれを実装しました。その後、バックグラウンド サービス ワーカーは、盗まれたクリップボード データを攻撃者が制御するサーバーに転送しました。

Firefox バージョンもこのプロセスを反映していますが、別の方法を使用しています。バックグラウンド スクリプトで盗難を完了し、1.5 秒ごとにポーリングします。これは、アーキテクチャの違いによるものと考えられます。

2 つのアドオンは両方とも同じバックエンド システムに接続し、クリップボードの内容を取得および送信するためにほぼ同じ方法を使用します。調査員は、Chrome バージョンのファイル内の拡張機能 ID を含む、Firefox 固有の設定の詳細を特定しました。これは、両方の拡張機能が共通のコード ベースまたはビルド プロセスを共有しているため、作成者が同じである可能性が高いことを示しています。

VPN インフラストラクチャの悪意のある使用は世界的な注目を集めています。当局は最近、「最初の VPN サービス」を閉鎖しましたサイバー犯罪リンクをターゲットとした国際的な作戦で。

クリップボードデータが非常に貴重な理由

クリップボード データには機密情報が含まれているため、そのデータが盗まれると重大なセキュリティ リスクが生じます。多くの人は通常、パスワード マネージャー、(認証アプリからの) MFA コード、クラウド サービスの API キー、サードパーティ統合用の OAuth トークン、クラウド資格情報、暗号通貨ウォレット アドレス、デジタル ウォレットの回復フレーズなどの情報をクリップボードに保存しています。

悪意のあるブラウザ拡張機能がクリップボード上のデータをキャプチャすると、攻撃者がそれを使用して重大なセキュリティ上の損害を引き起こす可能性があります。彼らはあなたのアカウントにアクセスしてあなたの情報を盗んだり、システム全体を危険にさらしたりする可能性があります。

VPN Go 拡張機能は、キャプチャされたすべてのクリップボード データを攻撃者のサーバーに送り返していました。これにより、攻撃者は、被害者に関する機密情報の非常に有効かつ継続的なストリームを得ることができます。

正規のプロキシ機能は、拡張機能が疑惑を回避するのに役立ちました。ユーザーは VPN が正しく動作していることを確認し、ソフトウェアが安全であると考えました。プロキシ操作に必要な広範な権限により、クリップボード監視を便利にカバーできます。

ソケットの研究者らによると、この拡張機能はストアのプロキシ資格情報やプロキシの場所を取得し、ブラウザのトラフィックをリモートサーバー経由でルーティングできるという。この正当な機能は信頼の構築に役立ち、ブラウザーに広範なアクセス許可を与える説得力のある理由を提供しました。

自分自身を守り、何をすべきかを知る

Socket は、これらの拡張機能を使用している人に対して、遅滞なくアンインストールするようアドバイスしています。同社はまた、両方の拡張機能を審査と削除のためにGoogleとMozillaに報告した。

これらの拡張機能を使用した人は、その間にコピーされたすべての機密情報が侵害される可能性があると考える必要があります。これには、パスワード、API キー、クラウド認証情報、OAuth トークン、暗号通貨回復マテリアル、および拡張機能のインストール中にコピーされたその他の機密情報が含まれます。

ユーザーは、拡張機能がアクティブな間にアクセスしたアカウントのパスワードを変更する必要があります。また、詳細をコピーした場合は、API キーをローテーションし、新しい暗号通貨ウォレット アドレスを生成する必要があります。もう 1 つの重要な実践は、不審なアクティビティがないかアカウントを監視することです。

この事件は、信頼できるブラウザ拡張機能のみをインストールすることの重要性を浮き彫りにしました。ユーザーは、インストールする前に、拡張機能によって要求される権限を注意深く確認する必要があります。クリップボードへのアクセスや、すべての Web サイト上のデータを読み取る機能を要求する拡張機能は、さらに精査する必要があります。