有名人のヌード画像をエサにしてFacebookでマルウェアを拡散するChromeの有害な拡張機能の存在が判明

Google Chromeの拡張機能を悪用することで、個人情報を抜き出すとともにFacebookの友人にも被害を拡大させる攻撃方法が存在していることが、インターネットのセキュリティ関連企業「Cyren」の調査で判明しました。

Malicious Google Chrome extension spreads nude celebrity pdf's to Facebook
http://blog.cyren.com/articles/malicious-google-chrome-extension-spreads-nude-celebrity-pdfs-to-facebook.html

Facebook malware allegedly spreading celebrity sex tapes through Chrome extension [Update]
https://www.neowin.net/news/facebook-malware-allegedly-spreading-celebrity-sex-tapes-through-chrome-extension

悪意のある拡張機能がインストールされてしまうと、自分のFacebookグループに有名人のヌード写真を思わせるファイル名のPDFファイルがアップロードされてしまうとのこと。ファイル名は「Jessice_Alba_Leaked-sextapeVide_oSun_Dec_4_2016_22_99.mp4.pdf」という風に、有名人の名前に「Leaked-sextapeVideo(リークされたセックス動画テープ)」と言う内容の文字列と日付、そして動画ファイルであることを連想させる「.mp4」の文字を含むものとなっています。

よく見れば拡張子が「.pdf」になっているので、注意深い人は怪しいことに気づけるはず。しかし、この手のマルウェアは受信者がついうっかりファイルを開いてしまうことをターゲットにしているものなので、誰か1人でも引っかかってしまうと被害が徐々に広がります。

PDFファイルを開いてしまうと、動画プレイヤーのような画面が表示されます。この画面で中央にある再生ボタンを偽装したアイコンをクリックしてしまうと……

普段メインで使用しているブラウザが立ち上がります。「既定」に設定してあるブラウザがInternet ExplorerやFirefox、Operaなどの場合だと、画面にポルノサイトや偽の賭け事サイトの広告が次から次へと表示されるとのこと。

しかし、ユーザーがChromeを使っている場合は事情が異なってきます。ブラウザが開くと、「hxxps://rb-xxxxxx.xxx/gxxxxo.php(伏せ字)」というphpのアドレスへと飛ばされ、YouTubeを模した偽サイトが表示されます。その画面で再生ボタンをクリックすると、Chrome拡張機能をインストールするように促す以下のようなダイアログが表示されます。

ここで拡張機能をインストールしてしまうと、ChromeがFacebookのログイン画面を表示し、ユーザーの友人リストやFacebookのグループ、そして個人情報を全て抜きだしたうえで、同様の悪意あるPDFファイルをFacebookのグループや自身の投稿、そして友人とのチャットで次々に拡散を開始してしまうことになります。

さらに、被害はこれだけにとどまりません。インストールされた拡張機能は、ユーザーがChromeの拡張機能設定ページにアクセスできなくしてしまうため、アンインストールすることが不可能な状態に陥ってしまうとのこと。また、ブラウザの「開発ツール」を開くこともできなくなるため、同様にアンインストールを行うことができなくなります。

そのため、インストールしてしまった拡張機能を削除するには、Windowsのレジストリを書き替えるしか方法がない模様。その方法はBleepingComputerの記事で解説されているように、まずはレジストリエディタで「HKEY_LOCAL_MACHINE\Software\Google\Chrome\Extension」という名前のフォルダを削除し、次にローカルドライブの「C:\Users\USER\AppData\Local\Google\Chrome\User Data\Default\Extensions」のフォルダを全て削除する必要があります。この時、すでにChromeにインストールされている拡張機能は全て削除されてしまうため、必要な拡張機能は再びインストールし直す必要が生じます。

なお、この件に関してFacebookはNeowinに対して「Facebookでは危害をおよぼすリンクやファイルがFacebook上で表示されることを防ぐための自動システムを使用しています。このシステムにより、悪意のある活動の多くはブロックされており、影響を受けた拡張機能はすでにFacebookのプラットフォーム上での活動を行っていません。関連する当事者は、ブラウザストアから該当する拡張機能を削除しています」というコメントを返答しています。