BitDefender Labsは、Facebookを利用して、偽のセキュリティアップデートを使用してBitwardenユーザーをターゲットにする悪意のある広告キャンペーンを発見しました。 2024年11月3日に開始されたこのキャンペーンは、人気のあるパスワードマネージャーになりすまして、有害なブラウザ拡張機能を配布しています。
攻撃者はFacebookの広告プラットフォームを使用して、Bitwardenブランドのセキュリティアラートを装って、一見合法的な広告を配信します。広告は複数のドメインを介して被害者をリダイレクトし、最終的にはChrome Webストアを模倣するフィッシングページにつながりました。そこから、ユーザーはGoogleドライブリンクを介してzipファイルとしてパッケージ化されたブラウザ拡張機能をインストールするように求められます。
拡張機能をインストールするために、犠牲者は、開発者モードを有効にし、未開拓の拡張機能を除いて、ブラウザのセキュリティをバイパスするように導かれました。このプロセスにより、マルウェアは検出されずに動作し、ユーザーのブラウザを操作し、機密情報にアクセスするための広範な権限を付与します。
悪意のある拡張機能が要求する主要な権限には、Cookieとストレージへのアクセス、ネットワークリクエストを変更する機能、タブとページのコンテンツを完全に制御することが含まれます。
データの収集データ
拡張機能のメインスクリプトであるbackground.jsは、インストール直後にアクティブになります。 Facebookアカウントとビジネス資産に焦点を当てた機密データを収穫します。次の手順では、マルウェアの操作の概要を説明します。
- このスクリプトは、ユーザーIDを含むC_USER CookieをターゲットにするFacebook Cookieを取得します。
- マルウェアは、外部APIを介してIPとロケーションデータを収集します。
- FacebookのグラフAPIを使用して、マルウェアは個人情報、ビジネスアカウント情報、広告アカウントデータ、および関連する支払い方法を収集します。
- 盗まれたデータは、攻撃者向けのコマンドアンドコントロール(C2)サーバーとして機能するGoogleスクリプトURLに送信されます。
このキャンペーンは当初、ヨーロッパ全域で18〜65歳のユーザーを対象とし、数千人に影響を与えました。ただし、FacebookやGoogleドライブなどのグローバルプラットフォームのスケーラビリティと使用により、世界中で簡単に拡大する可能性があります。盗まれたデータは、広告予算や個人口座への不正アクセスによる個人や企業の財政的損失など、深刻な意味を持っています。
防衛のヒント
BitDefender Labsが提案していますユーザーが、Cookieへのアクセスやネットワークリクエストなど、過度のブラウザ拡張アクセス許可を監視し、悪意のある拡張機能を示すことができます。さらに、graph.facebook.comへの呼び出しや、インストール時に開始された難読化コードなど、異常なアクティビティを探すことをお勧めします。
拡張サイドローディングは、避けるべきリスクの高い操作です。代わりに、ユーザーは常に公式ソースを使用して更新プロンプトを確認する必要があります。