Chrome拡張機能108件、共有C2でデータ窃取とセッション窃取
Socketの脅威調査チームは、Chrome Web Store上の拡張機能108件が共有のC2基盤(cloudapi[.]stream)に接続し、ユーザーIDや識別情報、閲覧データの送信、セッション窃取、ブラウザ起動時の任意URLオープンなどを行うキャンペーンに関連すると報告した。記事執筆時点で、対象拡張は引き続き公開されているとしている。
- 影響: 108件の拡張は5つの発行者名義に分かれているが、同一のバックエンドに接続して情報を送信するという。
- 影響: 54件の拡張は、ユーザーがサインイン操作を行った際に
chrome.identity.getAuthTokenを通じて取得した情報から、メールアドレスや氏名、プロフィール画像URL、永続的識別子(sub)を送信する。 - 影響: 一部の拡張はTelegram Webのローカルストレージを読み取り、セッション情報を一定間隔で送信する実装があるとされる。
- 影響: 45件の拡張は、ブラウザ起動時にC2へ問い合わせて応答に含まれるURLを新規タブで開くバックドア(
loadInfo())を含むという。
対処として、対象の拡張IDに一致するものをインストール済み拡張から削除し、Telegram関連の拡張を利用していた場合はTelegram側でWebセッションを終了させること、Googleでのサインインを行った可能性がある場合は連携済みアプリの権限を確認して不要なものを取り消すことなどが推奨されている。組織向けには、cloudapi[.]stream とそのサブドメイン、top[.]rodeo のブロックや、拡張バンドル内の通信パターン(例: 起動時の /user_info へのPOSTと infoURL に基づく chrome.tabs.create)の検出が提案されている。