セキュリティ研究者のジャミラ・カヤは、ある日、ネット上のデジタル脅威を常に調査する仕事に関連したルーチンワークを行っていたところ、一連の悪質なGoogle Chrome拡張機能の最初のものに遭遇し、2か月にわたる調査のきっかけとなり、Googleがウェブストアから500以上の拡張機能を削除することにつながったのです。
残念ながら、彼女が発見した最初の拡張機能は、すでに170万人以上のChromeユーザーがインストールしていたため、この調査は急務となりました。
この調査の結果は、少なくとも2年前から活動していた巨大なマルウェア活動であることが判明し、新たに発表された報告書で明らかにされました。
報告書によると、最初の発見後、カヤはシスコのDuoセキュリティ・チームに連絡を取りました。
彼女は、ブラウザに感染し、「より大きなキャンペーンの一環としてデータを流出させる」様々なChrome拡張機能を発見したことを彼らに連絡しました。
「これらの拡張機能は、一般的にサービスとして広告を提供するように表示されていました」と報告書は指摘しています。
「ジャミラは、これらの拡張機能が、ほぼ同じ機能を共有する模倣プラグインのネットワークの一部であることを発見しました。
コラボレーションを通じて、私たちは数十の拡張機能を取り上げ、CRXcavator.ioを利用して170万人のユーザーにわたって彼らのパターンに一致する70を特定し、Googleに懸念をエスカレートさせることができました。
Duoチームはさらに、悪質な行為者がその悪質な行為を隠すために正当なインターネット活動を利用することが増えており、最も人気のあるチャネルの1つが広告Cookieとその中のリダイレクトの使用であると説明しています。
これは「マルバタイジング」と呼ばれる手法で、驚くほど検出が困難です。
「マルバタイジングは、しばしば他のプログラムの中で発生し、アドフラウド、データ流出、フィッシング、監視と搾取など、複数の形態の不正行為の手段として機能します」と、報告書は続けます。
「また、広告の収集や不正行為を含む複数の悪意のあるキャンペーンで出現することもあります。
これらの悪意のある拡張機能内のコードは、時にはユーザーをBest Buy’sやMacy’sのようなサイトのアフィリエイトリンクにリダイレクトさせることもありました。
また、マルウェアのダウンロードサイトに誘導されることもありました。
研究者たちは、この問題をGoogleにエスカレーションしたところ、Googleは対応してくれたと述べ、Googleの広報担当者は、研究コミュニティが会社のポリシーに違反する問題について警告した場合、常に行動を起こすと述べています。
さらに、Googleは、同等の技術、コード、動作を使用するこれらと同様の「拡張機能を見つけるための定期的なスイープ」を実行していると述べています。
