is702
ニュース

ブラウザの入力情報を窃取する不正な拡張機能、EdgeやChrome向けに出現

2018/06/01

トレンドマイクロは5月30日、公式ブログで「EdgeおよびChromeの不正な拡張機能を確認、バックドア活動によりユーザの情報を窃取」と題する記事を公開しました。

それによると、無料オンラインスキャンサービス「VirusTotal」を利用して、マルウェアのテストを行っている不審なグループが発見され、これを追跡調査したところ、ユーザ情報を不正に詐取するブラウザの拡張機能が確認されたとのことです。このグループは、モルドバ共和国のマルウェア開発グループと推測されています。

テスト用に提出されたファイルは、JavaまたはJavaScriptで作成されたマルウェアをダウンロード・実行するダウンローダでした。感染PCを乗っ取るため、このマルウェアは、正規のRemote Access Tool(RAT)である「VisIT」をインストールするとともに、「Microsoft Edge」または「Google Chrome」で入力した情報を窃取する不正な拡張機能もインストールすることが判明しました。

不正な拡張機能はChrome用で、Microsoftが2017年に導入した互換機能を利用することでEdgeにも対応しています。拡張機能の読み込みには、Webアプリケーションのためのテスト自動化ツール「Selenium」を利用しています。この拡張機能はバックドアとして設計されており、ユーザがWebページを開くたびに、WebサイトのURLとHTTPリファラ情報をC&Cサーバに送信します。さらに、ボタンクリックやドロップダウンリストの項目選択、Webページ内のフォームへの入力のような特定操作も検知可能で、これらの窃取した情報は、リアルタイムでC&Cサーバに送信されます。

今回確認されたマルウェアは、迷惑メールに不正な文書ファイルを添付する手口で、拡散を意図していたようです。従来と同じく、不審なメールに警戒し、セキュリティ対策を導入するとともに、Microsoft Officeにおいてはマクロの無効化等を検討するべきでしょう。

なおトレンドマイクロでは、 GoogleとMicrosoftに対して本情報を開示し、不正な拡張機能がChromeおよびEdgeのセキュリティに影響を与えないよう共同で対応しました。




Edge向けに移植された不正なChrome拡張機能<br />

Edge向けに移植された不正なChrome拡張機能


  • FCTV
  • mitene
FCTV
mitene