複数ライセンス割引見積
脅威データベース マルウェア インフォスティーラー Chrome 拡張機能

インフォスティーラー Chrome 拡張機能

マルウェア, スティーラーズMezoまで
翻訳内容:

セキュリティアナリストは、Meta Business環境から機密データを収集するために設計された不正なGoogle Chrome拡張機能を特定しました。@CLMastersによるこの拡張機能「CL Suite」は、Meta Business SuiteおよびFacebook Business Managerユーザー向けの生産性向上ツールとして宣伝されています。ビジネスデータのスクレイピング、認証プロンプトのバイパス、2要素認証(2FA)コードの生成を可能にするユーティリティとして宣伝され、2025年3月1日にChromeウェブストアに公開されました。

プライバシーポリシーでは2FAの秘密鍵とビジネスマネージャーのデータはローカル環境に限定されると謳われていますが、技術的な分析により異なる実態が明らかになりました。この拡張機能はmeta.comおよびfacebook.comドメインに対して広範な権限を要求し、機密情報を攻撃者が管理するインフラに密かに送信します。

秘密のデータ流出能力

この拡張機能は、認証済みのMetaセッションから高価値データを密かに収集・エクスポートします。抽出された情報はgetauth[.]proでホストされているバックエンドに送信され、オプションで同じペイロードを脅威アクターが運営するTelegramチャンネルに転送するメカニズムも備えています。

拡張機能のデータ収集機能の全範囲は次のとおりです。

  • Meta および Facebook Business アカウントのセキュリティ保護に使用される TOTP シードと有効な 2FA コードの盗難
  • ビジネス マネージャーの「人」データを抽出し、名前、メール アドレス、割り当てられた役割、権限レベル、アクセス ステータスを含む CSV ファイルにコンパイルします。
  • ビジネス マネージャーのエンティティとリンクされたアセットの列挙(広告アカウント、関連ページ、アセット接続、課金設定、支払い詳細など)

アドオンはパスワードを直接取得するわけではありませんが、攻撃者は盗んだ時間ベースのワンタイムパスワードを、インフォスティーラーのログや漏洩したデータベースから取得した認証情報と組み合わせて、不正なアカウントアクセスを取得する可能性があります。

セキュリティ研究者は、インストールベースが比較的小規模であっても、収集された情報は価値の高い企業ターゲットを特定し、後続の攻撃を容易にするのに十分であると警告している。

生産性を装ったスクレイピング

CL Suiteの事例は、限定的なスコープを持つブラウザ拡張機能が、積極的なデータ収集を正当なワークフロー強化機能に見せかけることができることを示しています。連絡先抽出、分析情報の収集、認証ポップアップの抑制、ブラウザ内2FA生成といった機能は、中立的なユーティリティではありません。認証済みのMetaビジネスインターフェースから連絡先リスト、メタデータ、認証情報などを直接吸い上げるために設計された、専用のスクレーパーとして機能します。

このような拡張機能は、信頼できるワークフローに組み込むことで、ユーザーの疑いを回避し、アクティブ セッションのセキュリティ境界内で動作します。

AiFrameキャンペーン:AIアシスタントがデータプロキシに

AiFrameと呼ばれる別の組織的なキャンペーンでは、研究者らが、要約、チャット、文章作成支援、Gmailの生産性向上のためのAIアシスタントとして宣伝されている32個のブラウザ拡張機能を発見しました。これらのアドオンは合計で26万回以上インストールされています。

これらの拡張機能は一見正当なもののように見えますが、リモートサーバー駆動型のアーキテクチャを採用しています。ローカルでデータを処理するのではなく、ドメインclaude.tapnetic[.]proに接続するフルスクリーンのiframeオーバーレイを埋め込んでいます。この設計により、運営者はChromeウェブストアからアップデートを公開することなく、新しい機能を動的に導入できます。

これらの拡張機能は、導入されるとブラウザとリモートインフラストラクチャ間の特権的な仲介者として機能します。起動されると、アクティブなタブを検査し、MozillaのReadabilityライブラリを使用して記事のコンテンツを抽出します。さらに、音声認識の開始や、キャプチャしたトランスクリプトの外部サーバーへの送信などの機能も備えています。

拡張機能の一部はGmailを特に標的としています。ユーザーがmail.google.comにアクセスし、AIによる返信機能や要約機能を有効にすると、表示されるメールの内容がドキュメントオブジェクトモデル(DOM)から直接抽出され、運営者が管理するサードパーティのバックエンドシステムに送信されます。その結果、メールの内容とコンテキストメタデータが、ユーザーに明確な認識がないまま、Gmailの保護された環境からリモートサーバーに転送される可能性があります。

大規模な拡張機能の悪用とデータ仲介

ブラウザ拡張機能の悪用は、単発的なキャンペーンにとどまりません。研究者らは、合計3,740万回インストールされ、世界中のChromeユーザーベースの約1%に相当する287個のChrome拡張機能を特定し、閲覧履歴をデータブローカーに流出させています。

これまでの調査では、収集された閲覧データがどのようにSimilarwebやAlexaなどの企業によって集約され、収益化されているかが明らかになっています。今回の調査結果は、拡張機能ベースの監視がどれほどの規模で機能し得るかを強調しています。

悪意のある拡張機能に対する防御の強化

脅威の状況が深刻化していることを踏まえ、組織および個々のユーザーは、規律ある拡張機能管理プラクティスを導入する必要があります。効果的な防御策には、以下のようなものがあります。

  • 公式マーケットプレイスから必須かつ評価の高い拡張機能のみをインストールする
  • インストールされた拡張機能の定期的な監査を実施し、過剰な権限や異常な動作を検出する
  • 機密性の高いアクティビティには別のブラウザプロファイルを使用する
  • 企業環境内で拡張機能の許可リストを実装し、許可されていないアドオンや非準拠のアドオンをブロックする

    • ブラウザ拡張機能は、信頼されたセッション内で重要な権限を持って動作します。厳格な監視がなければ、データの流出や認証情報の漏洩につながる強力な経路となる可能性があります。

    System Messages

    The following system messages may be associated with インフォスティーラー Chrome 拡張機能:

    The names of the malicious extensions are:

    AI Assistant (ID: nlhpidbjmmffhoogcennoiopekbiglbp)
    Llama (ID: gcfianbpjcfkafpiadmheejkokcmdkjl)
    Gemini AI Sidebar (ID: fppbiomdkfbhgjjdmojlogeceejinadg)
    AI Sidebar (ID: djhjckkfgancelbmgcamjimgphaphjdl)
    ChatGPT Sidebar (ID: llojfncgbabajmdglnkbhmiebiinohek)
    AI Sidebar (ID: gghdfkafnhfpaooiolhncejnlgglhkhe)
    Grok (ID: cgmmcoandmabammnhfnjcakdeejbfimn)
    Asking Chat Gpt (ID: phiphcloddhmndjbdedgfbglhpkjcffh)
    ChatGBT (ID: pgfibniplgcnccdnkhblpmmlfodijppg)
    Chat Bot GPT (ID: nkgbfengofophpmonladgaldioelckbe)
    Grok Chatbot (ID: gcdfailafdfjbailcdcbjmeginhncjkb)
    Chat With Gemini (ID: ebmmjmakencgmgoijdfnbailknaaiffh)
    XAI (ID: baonbjckakcpgliaafcodddkoednpjgf)
    Google Gemini (ID: fdlagfnfaheppaigholhoojabfaapnhb)
    Ask Gemini (ID: gnaekhndaddbimfllbgmecjijbbfpabc)
    AI Letter Generator (ID: hgnjolbjpjmhepcbjgeeallnamkjnfgi)
    AI Message Generator (ID: lodlcpnbppgipaimgbjgniokjcnpiiad)
    AI Translator (ID: cmpmhhjahlioglkleiofbjodhhiejhei)
    AI For Translation (ID: bilfflcophfehljhpnklmcelkoiffapb)
    AI Cover Letter Generator (ID: cicjlpmjmimeoempffghfglndokjihhn)
    AI Image Generator Chat GPT (ID: ckneindgfbjnbbiggcmnjeofelhflhaj)
    Ai Wallpaper Generator (ID: dbclhjpifdfkofnmjfpheiondafpkoed)
    Ai Picture Generator (ID: ecikmpoikkcelnakpgaeplcjoickgacj)
    DeepSeek Download (ID: kepibgehhljlecgaeihhnmibnmikbnga)
    AI Email Writer (ID: ckicoadchmmndbakbokhapncehanaeni)
    Email Generator AI (ID: fnjinbdmidgjkpmlihcginjipjaoapol)
    DeepSeek Chat (ID: gohgeedemmaohocbaccllpkabadoogpl)
    ChatGPT Picture Generator (ID: flnecpdpbhdblkpnegekobahlijbmfok)
    ChatGPT Translate (ID: acaeafediijmccnjlokgcdiojiljfpbe)
    AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl)
    ChatGPT Translation (ID: idhknpoceajhnjokpnbicildeoligdgh)
    Chat GPT for Gmail (ID: fpmkabpaklbhbhegegapfkenkmpipick)

    トレンド

    Taqw ランサムウェア

    ランサムウェア
    Taqw はランサムウェアの一種として分類されており、貴重なデータを暗号化することを主な目的とする強力なマルウェアです。この脅威は、影響を受けるファイルへの正当な所有者アクセスを事実上拒否します。 Taqw ランサムウェアはシステムに侵入し、暗号化プロセスを実行し、被害者のコンピュータ内に存在するすべてのファイルの名前を体系的に変更します。この脅威は、元のファイル名に拡張子「.taqw」を細...

    News-gavewe.com

    不正なウェブサイト, アドウェア, ブラウザハイジャッカー
    News-gavewe.com は、疑いを持たないインターネット ユーザーを騙すために意図的に作成された詐欺的な Web サイトです。これは、ユーザーが明確なトリガーなしで、または特定の Web サイトにアクセスした後に表示される迷惑なポップアップ通知に遭遇するため、注目を集めます。これらの予期しない通知は、プッシュ通知に対して以前に付与された権限の結果であり、そのすべてが慎重に調整された戦...

    Kravonexta.com

    不正なウェブサイト, アドウェア, ブラウザハイジャッカー
    ウェブを閲覧する際には常に注意を払うことが重要です。目にするすべてのページが正当または無害であるとは限らないからです。悪質なウェブサイトは、ユーザーの信頼感や不注意を悪用することを目的として設計されており、偽のCAPTCHAチェックなど、訪問者を欺くような手法を用いて「許可」ボタンをクリックさせようとします。こうすることで、ユーザーは知らないうちに煩わしいプッシュ通知を受信してしまいます。こ...

    最も見られました

    「プリンタドライバが利用できません」エラーを修正する方法

    問題
    41,445
    プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

    修正方法「macOSはこのアプリにマルウェアがないことを確認できません」

    問題
    33,072
    Macユーザーは通常、不明な開発者または公式のApp Storeで入手できず、サードパーティのアプリから提供されているアプリケーションをインストールしようとしているときに、「macOSはこのアプリにマルウェアがないことを確認できません」というメッセージが表示されます。licationプラットフォーム。このような場合、Gatekeepと呼ばれる組み込みのMacセキュリティシステムは、特定のアプ...
    画面を共有するとDiscordが黒い画面を表示するスクリーンショット

    画面を共有するとDiscordが黒い画面を表示する

    問題
    32,598
    最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
    読み込んでいます...