Proofpointは8月14日(米国時間)、「Threat actor goes on a Chrome extension hijacking spree|Proofpoint」において、7月末から8月にかけて複数のChromeエクステンションがマルウェアとして振る舞うように書き換えられたと伝えた。開発者のGoogleアカウントのデータを窃取されてChromeエクステンションが書き換えられ、結果としてそれらエクステンションを使っていたユーザーは害を及ぼす可能性のあるポップアップの表示や認証データの窃取などの危険性にさらされることになったと指摘している。

Web DeveloperというChromeエクステンションの開発者であるChris Pederick氏は、ブログやTwitterで、悪意のあるコードを仕込まれたため、新たなバージョンを公開したことを明らかにしている。

書き換えの影響により、Web Developerのバージョンアップを伝えるChris Pederick氏のブログ

Proofpointは書き換えられたと見られるChromeエクステンション「Web Developer 0.4.9」を調査した結果、「Chrometana 1.1.3」「Infinity New Tab 3.12.3」「CopyFish 2.8.5」「Web Paint 1.2.1」「Social Fixer 20.1.1」も同一人物による手口と見られる書き換えが行われた証拠を見つけたと指摘。さらに「TouchVPN」と「Betternet VPN」も6月の末に同様の手口で書き換えが行われた可能性があると説明している。

この書き換えは、攻撃者がフィッシングのキャンペーンメールを通じてChromeエクステンション開発者のアカウントデータを窃取し、正規のエクステンションを害を及ぼすエクステンションに入れ替えることで行われたもの。入れ替えられたエクステンションはトラフィックを誘導してアフィリエイト目的などの広告を表示するといった操作を実施する。攻撃者は常に新しい攻撃方法を模索しており、今後も注意が必要。

乗っ取られたトラフィックを受け取っているアフィリエイトプログラムの例 資料:Proofpoint