セキュリティ研究者らが、ビットコインをハイジャックする Chrome 拡張機能を発見した。この拡張機能は、公開される前に 1 件のビットコイン取引のみを盗み取ることができた。
トレンドマイクロの研究者らは、この悪質な拡張機能は昨年初めて出現した「FacexWorm」と呼ばれる攻撃手法を使用しており、今月初めに活動が再出現したことに気づいたと付け加えた。
同社によれば、FacexWorm は悪意のある Facebook Messenger メッセージを通じて増殖し、Chrome のみを攻撃する。別のブラウザが検出されると、ユーザーは無害に見える広告に誘導される。
被害者は、YouTube ビデオへの Facebook Messenger リンクをクリックしたときに提供されたコーデック拡張機能として、悪意のある拡張機能をインストールするように騙されました。
「FacexWormは通常のChrome拡張機能のクローンですが、メインルーチンを含む短いコードが挿入されています」と投稿には記されています。「ブラウザを開くと、C&Cサーバーから追加のJavaScriptコードをダウンロードします。被害者が新しいウェブページを開くたびに、FacexWormはC&Cサーバーにクエリを送信し、別のJavaScriptコード(Githubリポジトリにホストされている)を検索・取得し、そのウェブページで自身の動作を実行します。」
FacexWormの感染連鎖。クリックして拡大
これに加えて、FacexWormは、関心のあるウェブサイトのアカウント認証情報を盗み出し、被害者を仮想通貨詐欺サイトへリダイレクトする機能も備えています。Trendの記事によると、このワームは「ウェブページに悪質なマイニングコードを挿入し、仮想通貨関連の紹介プログラムへの攻撃者向け紹介リンクへリダイレクトし、取引プラットフォームやウェブウォレットの取引を受信者アドレスを攻撃者のアドレスに置き換えることで乗っ取る」とも述べられています。
取引の乗っ取りに失敗した場合、この拡張機能は、Binance、DigitalOcean、FreeBitco.in、FreeDoge.co.in、HashFlare などをターゲットにした紹介詐欺で小銭を獲得しようとします。
この拡張機能に感染すると、URLバーで仮想通貨関連の単語(例えば「ブロックチェーン」や「イーサリアム」)を検索するユーザーは、偽のページに誘導されます。そのページでは、「確認のため」として攻撃者のウォレットに0.5~10イーサを送金するよう求められ、5~100イーサが返金されると約束されています。「これまでのところ、攻撃者のアドレスにETHを送金した人は見つかっていない」とTrendの研究者は述べています。
結局、人間の愚かさにも限度があるようだ。®
