Google Chromeの拡張機能に偽装してアカウント乗っ取りや仮想通貨のマイニングを行うマルウェア「Nigelthorn」

セキュリティ会社のラドウェアが機械学習によるアルゴリズムで通信ログを分析した結果、Chromeの拡張機能に見せかけてアカウントの乗っ取り・仮想通貨のマイニングなどを行うマルウェア「Nigelthorn」を発見したと報告しています。Nigelthornは、既に報告されているFacexWormと同じようにFacebookを介して広がっており、ラドウェアによると既に100カ国以上で10万人以上のユーザーが感染しているとのことです。

Nigelthorn Malware Abuses Chrome Extensions to Cryptomine and Steal Data | Radware Blog
https://blog.radware.com/security/2018/05/nigelthorn-malware-abuses-chrome-extensions/

Nigelthornは感染したユーザーのFacebookアカウントを利用して、友人に悪意のあるリンクを送信します。送られてきた悪意のあるリンクを踏んでしまうと、リンクにアクセスしたユーザーはYouTubeを装った偽ページにリダイレクトされます。ムービーを流すためにChrome用の拡張機能をインストールするようポップアップが表示され、これを許可するとNigelthornがインストールされてしまいます。Nigelthornは、感染したユーザーがChromeの「拡張機能」設定ページ(chrome://extensions/)を開いたことを検出するとすぐに閉じてしまい、設定画面へのアクセスを妨害します。それだけではなく、Facebookでの投稿の削除やコメントの作成もブロックします。

このツールを使用すると、被害者のPCはバックグラウンドでこっそり仮想通貨のマイニングを行い、その収益は攻撃者の元へ送られるようになっています。ラドウェアは、Monero・Bytecoin・Electroneumでおよそ1000ドル分(約11万円)がNigelthornによってマイニングされていると報告しています。また、NigelthornはFacebookのログイン資格情報とInstagramのCookieを盗み見ていて、感染したPCでログインを行った場合、その情報が攻撃者の元に送られてしまいます。

Nigelthornを作成した攻撃者は、既存の拡張機能のプログラム中に、悪意のある短いスクリプトを分かりにくい形で挿入し、Chrome ウェブストアにそのまま公開しています。ラドウェアは、Googleによるコードチェックをクリアするための方法だろうと考えています。ラドウェアの研究グループによると、Nigelthornと同タイプの不正な拡張機能はすでに7タイプを検出していて、そのうちの4つは既にGoogleのセキュリティによって特定され、ブロックされているとのこと。

NigelthornはWindowsとLinuxの両方で動作し、Chromeの拡張機能を装っているため、感染したChromeを利用している限り動作します。ラドウェアがChrome ウェブストアの統計やURL短縮サービスなどから統計を収集した結果、感染したユーザーの75％以上がフィリピン・ベネズエラ・エクアドルに及んでいて、総数は10万人を超えているとのことです。

FacexWormやDigmineなど、Chromeの拡張機能を装ってアカウント情報を盗んだり、仮想通貨のマイニングをこっそり行ったりするマルウェアはこれまでにもいくつか報告されていましたが、Nigelthornはコピーする拡張機能をどんどん変えていて、さらにマルウェアを広めるために削除や検出を避けるシステムとなっているため、感染拡大を食い止めるのは難しいだろうとラドウェアは論じており、個人や組織に対してアカウントのパスワードを変更するよう推奨しています。