Malwarebytesは1月20日(現地時間)、「Fake extension crashes browsers to trick users into infecting themselves|Malwarebytes」において、Webブラウザの拡張機能を悪用し、ユーザー自身に不正な操作を実行させる新しい攻撃手法について伝えた。

従来は認証画面を装う手口が知られていたが、今回は拡張機能が意図的にブラウザを停止状態へ導く点に特徴がある。公式ストアに登録されていた偽装拡張機能は有名な広告遮断ツールを模倣し、正規品と誤認させる外観を備えている。

  • Fake extension crashes browsers to trick users into infecting themselves|Malwarebytes

    Fake extension crashes browsers to trick users into infecting themselves|Malwarebytes

正規品に似せた設計でユーザー心理を突く仕組み

問題の拡張機能は、導入直後には不審な挙動を示さないという。内部では外部サーバと通信し、導入状況を把握する機能を備える。一定時間が経過するまで待機する設計が採用され、ユーザーが原因を関連付けにくい状況を作っている。こうした遅延型の挙動により、不具合と誤解させる環境が整う。

一定時間後、拡張機能は内部通信を大量に発生させ、端末資源を消費する動作へ移行する。結果としてWebブラウザは応答不能となり、強制終了に近い状態へ陥る。この挙動自体が攻撃の前段階として機能し、利用者に修復を促す状況を作り出す。

再起動後、画面には異常終了を知らせる通知が表示され、再発防止策が示される。表示内容は技術的な手順を含み、操作を指示する形式を取る。ここで示される操作は、事前に記録された命令を実行させる導線として用意されている。

攻撃進行段階の違い

PCが組織管理下にある場合、遠隔操作が可能な不正プログラムが導入される構成が確認される。これにより、内部情報の取得や追加操作が可能となる。一方、管理下にない端末では異なる応答が返るため、開発途中の可能性も示唆されている。

サイバー攻撃全体はユーザーの操作を起点とし、技術的な不具合を装う流れで完結する点に特徴がある。ユーザーが自ら命令を実行するため、警告を回避しやすい構造を持っている。

Webブラウザの拡張機能はマルウェア感染の足がかりとして積極的に悪用されている。公式ストアで配布されている拡張機能にも偽物が混じっていることがわかっている。公式ストアからインストールした拡張機能であっても、一定のリスクが存在することを認識し、不自然な挙動を見せた場合にはいったん手を止めて適切に対処することが望まれている。