Google ChromeのVPN拡張機能がマルウェアだった、長期偽装の全貌

Socketは12月22日(現地時間)、「Malicious Chrome Extensions “Phantom Shuttle” Masquerade as ...」において、Google Chrome向けの拡張機能「Phantom Shuttle」という正規のVPNアプリを装った不正拡張機能について調査結果を公表した。

これはVPNや通信検証用ツールを名乗り、長期間にわたり利用者を獲得してきた事例であり、通信内容の中継と認証情報の送信を同時に実行する高度な構造を持つ点に特徴がある。2017年以降に配布が続き、正規サービスを思わせる課金体系と外観を備えていた点が被害拡大を招いたと判断されている。

• 

  Malicious Chrome Extensions “Phantom Shuttle” Masquerade as ...

長期使われていた課金ありのVPN拡張機能、マルウェアだったことが発覚

この拡張機能は開発者や貿易業者などを主な対象とし、多地点通信確認を行う道具として紹介されていた。利用者は月額または年額の料金を支払い、機能が有効化された後、自動的に通信が外部の中継基盤へ転送される構成だった。画面上では通信状態や遅延が表示され、一般的な有料ネットワーク支援サービスと同などの体裁を整えていた点が信頼を高めていた。

内部コードに一般的なJavaScriptライブラリが含まれていたが、その先頭部分に独自処理が追加され、通信時の認証要求に対し固定の資格情報を自動応答する仕組みが組み込まれていた。これにより利用者の操作を介さず通信が成立し、全通信が攻撃者管理下の中継点を経由する状態が維持されていた。

通信経路は設定ファイルにより動的に制御され、主要サービス(Google、GitHub、AWS、Facebookなど)が中継対象とされた。対象には開発基盤、業務用クラウド、交流系サービスなどが含まれ、閲覧履歴や送信情報が集約される条件が整えられていた。中継点は暗号化通信にも干渉可能な位置に置かれ、内容把握や改変が成立し得る構成だった。

長期活動を可能にした要因

拡張機能は定期的に外部基盤と通信し、ユーザーのメールアドレスやパスワードなどを定期的に送信していた。これらは利用状況確認を装った処理であり、実際には継続的な情報収集を担っていた。保存領域には認証情報が残存し、再起動後も動作が維持される設計だった点が被害の継続性を高めていた。

この基盤は長期間稼働しており、国外クラウド環境と防御サービスを用いて安定的に運用されていた。表面的には正規通信基盤と区別がつきにくく、遮断が困難な状態が続いていた。Socketは配布元への通報を行い、利用者には拡張機能の権限確認や不要な導入物の削除を推奨している。