複数ライセンス割引見積
脅威データベース マルウェア ShadyPanda 悪意のあるブラウザ拡張機能

ShadyPanda 悪意のあるブラウザ拡張機能

マルウェアMezoまで
翻訳内容:

長期的なサイバーエクスプロイトの顕著な例として、ShadyPandaとして知られる脅威アクターがブラウザ拡張機能を標的とした7年間のキャンペーンを展開し、430万件以上のインストールを記録しました。この活動は、適切な監視がなければ、正規のソフトウェアでさえ武器化される可能性があることを如実に示しています。

合法的なツールから悪意のあるアップデートまで

侵害された拡張機能のうち5つは、当初は正規のアプリケーションとして提供されていましたが、2024年半ばに悪意のある機能が追加されました。これらのアップデートは、最終的に削除されるまでに約30万回インストールされました。悪意のあるアップデートにより、1時間ごとのリモートコード実行が可能になり、攻撃者はブラウザへのフルアクセスで任意のJavaScriptをダウンロードして実行できるようになりました。これらの拡張機能は、有効化されると以下のようになります。

  • 訪問したすべての Web サイトを監視します。
  • 暗号化された閲覧履歴を盗み出します。
  • 完全なブラウザのフィンガープリントを収集します。

注目すべき例としては、Googleによって検証済みのClean Masterが挙げられます。この公式ステータスにより、ShadyPandaはユーザーベースを拡大し、悪意のあるアップデートを疑われることなく実行できるようになりました。

人気のアドオンによる大規模監視

WeTabを含む5つの拡張機能は、ユーザーを大規模に監視していました。これらのアドオンは、URL、検索エンジンのクエリ、マウスクリック、その他のブラウザインタラクションを追跡し、そのデータを中国にあるサーバーに送信していました。これらの拡張機能は合計で約400万回インストールされ、WeTabだけでも300万回インストールされました。

悪意のある行為の初期の兆候は2023年に現れ、開発者の「nuggetsno15」と「rocket Zhang」が、壁紙や生産性ツールを装った20個のChrome拡張機能と125個のEdge拡張機能を公開しました。

アフィリエイト詐欺とブラウザハイジャックの悪用

ShadyPandaの拡張機能は当初、アフィリエイト詐欺を目的としており、eBay、Amazon、Booking.comなどのサイトにトラッキングコードを挿入して不正なコミッションを得ていました。2024年初頭までに、この戦術はアクティブブラウザコントロールへとエスカレートし、以下のようなものになりました。

  • 検索クエリの収集。
  • 既知のハイジャッカーであるtrovi.com を通じて検索をリダイレクトします。
  • 対象ドメインから Cookie を盗み出す。

2024年半ばまでに、長年合法的に使用されてきた3つの拡張機能が改変され、「api.extensionplay.com」から1時間ごとにJavaScriptペイロードを取得し、それを実行してサイト訪問を監視し、暗号化されたデータを「api.cleanmasters.store」に送信するようになりました。ペイロードは高度に難読化されており、開発者ツールが検出されると無害モードに移行し、マルウェアの検出を回避していました。

高度な攻撃能力

これらの拡張機能は追跡以外にも、中間者攻撃 (AitM) 攻撃を仕掛ける可能性があり、次のことが可能になります。

  • 資格情報の盗難。
  • セッションハイジャック。
  • 任意のサイトへの任意のコード挿入。

WeTabなどのMicrosoft Edgeアドオンの登場により、監視は強化されました。これらのアドオンは、スクロール動作、ページでの滞在時間、すべてのブラウザフィンガープリントなど、ユーザーインタラクションを広範囲に記録していました。これらの拡張機能は、それぞれのマーケットプレイスからダウンロードできなくなりました。

ユーザーへの推奨アクション

このキャンペーンは4つの異なる段階を経て進行し、正規のツールから高度なスパイウェアへと進化しました。ダウンロード数が正規のツールに見せかけるために人為的に水増しされたかどうかは不明ですが、ユーザーへのリスクは依然として深刻です。これらの拡張機能をインストールしたユーザーは、直ちに拡張機能を削除し、すべてのオンラインアカウントのパスワードを変更する必要があります。

影響を受ける拡張機能の例:

  • Clean Master: 最高のChromeキャッシュクリーナー
  • Speedtest Pro - 無料オンラインインターネット速度テスト
  • ブロックサイト
  • アドレスバーの検索エンジン切り替え
  • SafeSwift 新規タブ
  • Infinity V+ 新規タブ
  • OneTab Plus: タブ管理と生産性向上
  • WeTab 新标签页
  • モバイル向けInfinity New Tab
  • インフィニティ新規タブ(プロ)
  • インフィニティ新規タブ
  • ドリームアファーの新規タブ
  • ダウンロードマネージャープロ
  • ギャラクシーテーマの壁紙HD 4kホームページ
  • Halo 4K壁紙HDホームページ
  • ShadyPandaからの教訓

    • ShadyPandaの成功は、技術的な洗練度だけでは十分ではないことを強調しています。このキャンペーンは、ブラウザ拡張機能マーケットプレイスにおけるシステム的な脆弱性を悪用することで成功を収めました。拡張機能は提出時に審査されますが、承認後の行動はほとんど監視されていません。この長期にわたる監視のギャップにより、信頼されたツールが静かに監視プラットフォームへと進化し、検証済みのソフトウェアであっても常に警戒を怠らない必要性を浮き彫りにしました。

    トレンド

    SafariBookings詐欺

    フィッシング, スパム
    サイバー犯罪者は、「SafariBookings詐欺」と呼ばれるフィッシングキャンペーンで旅行業界を狙っています。これらのメールは、正規の企業、組織、またはサービスプロバイダーとは一切関係がありません。旅行予約サービスからの公式メッセージを装っていますが、その真の目的は受信者を欺き、個人情報を盗み出すことです。これらのメールに騙されると、アカウントの乗っ取り、金銭的損失、個人情報の盗難といった被害に遭う可能性があります。 詐欺の仕組み 詐欺メールは、多くの場合「カナダ出身のBalogh」といった偽名を名乗る顧客がサファリツアーの見積もりを依頼したと主張します。メッセージには、大人10名で...

    BAFAIAIランサムウェア

    ランサムウェア
    現代の脅威はますます複雑化し、その影響範囲も拡大しているため、個人および企業のシステムを悪意のあるソフトウェアから保護することは不可欠です。ランサムウェアがデバイスに侵入すると、多くの場合、データ損失、業務の中断、機密情報の漏洩など、即時かつ深刻な被害をもたらします。BAFAIAIランサムウェアは、こうした高度な脅威の一つであり、強力な防御対策がもはやオプションではなく、必要不可欠である理由...

    受信メッセージ一時停止詐欺

    フィッシング, スパム
    サイバー犯罪者はメールを使った詐欺行為を巧妙化し続けており、「受信メッセージが一時停止されました」という詐欺は、巧妙に仕組まれたスパムメールがいかにして無防備な受信者を誘い込むかを示す、またしても実例です。これらの詐欺メールは、受信トレイからメッセージが保留されていると偽り、フィッシングページに誘導しようとします。これらのメールはcPanelやその他の正当な企業、組織、サービスプロバイダーとは一切関係がないことを認識することが大切です。 緊急性を生み出すために設計された欺瞞的な警告 この詐欺メールは通常、「受信メッセージが遅延しています。ご対応ください」といった件名で届きます。メールには...

    最も見られました

    「プリンタドライバが利用できません」エラーを修正する方法

    問題
    47,485
    プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

    Discord 灰色の画面で立ち往生

    問題
    38,059
    時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
    画面を共有するとDiscordが黒い画面を表示するスクリーンショット

    画面を共有するとDiscordが黒い画面を表示する

    問題
    35,386
    最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
    読み込んでいます...