Googleがブラウザの初期バージョンをリリースしてから、過去17年ほどで悪意のあるChrome拡張機能のかなりのシェアを見てきました。偽のVPN拡張機能や完全な悪意のある拡張機能から、洗練されたセッションリプレイマルウェアまで。
これが起こったことです:現在、多型拡張と呼ばれる新しい悪意のあるタイプの拡張機能が、現在、野生のユーザーを攻撃するために使用されています。
多型拡張とは何ですか?他の拡張機能のアイコンと動作を偽装してユーザーデータを盗む悪意のある拡張機能。
多型拡張は、一見すると正当な拡張のように振る舞います。それらは、何らかの機能を提供する無害な拡張機能のように見えます。彼らの真の目的は、ユーザーのブラウザにインストールされている他の拡張機能を偽造してデータを盗むことです。
関連している:ハッカーは何百万ものAuthy 2FA電話番号を盗みます
ユーザーデータへのアクセスを得るために、他の拡張機能を偽造します
のセキュリティ研究者Squarexラボ新しいタイプのマルウェアを発見しました。基本的なプロセスは常に同じです。合法的に見えるが悪意のあるクロム拡張のインストールから始まります。これは、公式のChrome Webストアまたは他のチャネルを介して発生する可能性があります。
拡張機能により、ユーザーはアイコンをChromeツールバーに固定するように促します。多くの拡張機能は、機能へのより速いアクセスを提供するため、要求します。
拡張機能は広告として機能しますが、ユーザーがインストールした高価値拡張機能をスキャンします。これらは、パスワードマネージャー、金融拡張、または貴重なデータへのアクセスを提供する可能性のあるその他のタイプの拡張機能です。
Chromeは、拡張機能が他のインストールされている拡張機能を列挙することを防ぎますが、これらの制限を克服するための手法が存在します。研究者によると、1つの方法は、ターゲット拡張機能が使用する特定のWebリソースを確認することです。
拡張機能が見つかると、悪意のあるコードが実行され、正当な拡張機能になりすまします。研究者は、攻撃されたパスワードマネージャー拡張機能の例を示します。
ユーザーがログインフォームでWebページにアクセスすると、悪意のある拡張機能はパスワードマネージャーを一時的に無効にし、Chromeツールバーのパスワードマネージャーアイコンになりすましています。 HTMLプロンプトは、パスワードマネージャーに新しいログインを要求します。これは、パスワードマネージャーから来たように見えます。
ユーザーが認証情報を入力すると、脅威アクターに渡されます。悪意のある拡張機能により、アイコンが再度変更され、パスワードマネージャーが再び有効になります。再度有効になった場合、正当なパスワードマネージャーがパスワードフィールドに記入してユーザーにサインインして、何が起こったのかを検出することを困難にします。
資格情報を手にすると、脅威アクターはユーザーのパスワード保管庫にアクセスしてデータを取得できます。
研究者は、多型拡張を使用して実行できるいくつかの重要な攻撃を強調しています。
- 暗号ウォレットを使用した暗号通貨の不正な転送
- 銀行アプリを使用した不正なトランザクション
- 生産性ツールを使用して機密文書/電子メールを監視、書き込み、および送信するための不正アクセス(文法チェッカー、自動化ツールなど)
- 開発者ツールを介してコードベースの読み取りと変更への不正アクセス
Squarexは、この新しいタイプの悪意のある拡張機能についてGoogleに通知しました。多型拡張に対する直接的な防御はありませんが、ユーザーはそれらをインストールする前にChrome拡張機能を検証することができます。
別のオプションは、さまざまなアクティビティにさまざまなプロファイルまたはブラウザを使用することです。最高のセキュリティを要求するタスクには、1つのブラウザまたはプロファイルを使用します。これにより、アクティビティが通常のブラウジングセッションから分離され、セキュリティが向上します。
今、それはあなたの番です。インストールする前に拡張機能を確認しますか?以下のコメントセクションでお知らせください。