トレンドマイクロ、Chrome 拡張機能のセキュリティ対策を回避する不正プログラムを確認

インターネットコム / 2014年9月16日 12時20分

写真

トレンドマイクロ、Chrome 拡張機能のセキュリティ対策を回避する不正プログラムを確認

トレンドマイクロは、8月、Google Chrome に拡張機能をインストールする不正プログラムを確認した。

同社は、Twitter で、「Facebook Secrets」という動画をダウンロードできるとうたうツイートを確認した。ユーザーがこのツイートに記載された短縮 URL をクリックすると Web サイトに誘導され、EXE ファイルがユーザーの PC に自動的にダウンロードされる。

「download-video.exe」というファイル名でダウンロードされるこのファイルは、実際は「TROJ_DLOADE.DND」として検出されるダウンローダ。このダウンローダにより、PC 上にファイルが次々とダウンロード、または作成される。ユーザーから疑いを持たれないために、これらのファイルは「flash.exe」といった、正規のファイルに見えるファイル名を利用する。

この不正プログラムは、ファイルのダウンロードおよび作成のほか、Flash Player の拡張機能を装ったブラウザの拡張機能を PC 上にインストールする。

Google のセキュリティポリシーを回避するために、この不正プログラムは、Google Chrome のディレクトリにフォルダを作成し、次の2つのブラウザ拡張機能のコンポーネントを作成する。

1つは、manifest.json (ブラウザ拡張機能の詳細情報を含む)。もう1つが、crx-to-exe-convert.txt(読み込まれるスクリプトを含む)。

このブラウザ拡張機能を有効にするために、ブラウザは、作成されたコンポーネント「manifest.json」の情報を構文解析する。

ユーザーが Facebook もしくは Twitter にアクセスすると、この拡張機能は裏で特定の Web サイトにアクセスする。この Web サイトはトルコ語で記述されており、「辛辣な言葉」「重い歌詞」「意味のある歌詞」といった意味の言葉が Web ページ上に表示される。これは、クリック詐欺や不正な Web サイトへ誘導といった不正活動の一部だと思われる。

トレンドマイクロは、対策として、ソーシャルメディア上で表示されている短縮 URL はクリックしないようにすることや、ブラウザの拡張機能は、公式の Web ストアや信頼のおけるソースからインストールすることを勧めている。

インターネットコム

トピックスRSS

ランキング