ウェブページ上にスパム広告を表示しまくる偽物の「Evernote用拡張機能」が出回る

By othree

フリーのセキュリティソフトを提供するMalwarebytesの研究員が、偽物の「Evernote用拡張機能」を発見し、これをウイルス・マルウェア・URLの無料オンラインスキャンサービスVirusTotalにてスキャンしてみたところ、怪しいプログラム(PUP)であることが判明しました。

Fake Evernote Extension Serves Advertisements | Malwarebytes Unpacked
https://blog.malwarebytes.org/intelligence/2014/08/fake-evernote-extension-serves-advertisements/

Fake Evernote extension is spamming Chrome users, warns Malwarebytes- The Inquirer
http://www.theinquirer.net/inquirer/news/2360946/fake-evernote-extension-is-spamming-chrome-users-warns-malwarebytes

Evernoteの公式拡張機能の名前は「Evernote Web」なのですが、これとまったく同じ名前の偽拡張機能が出回っているようです。この偽物の「Evernote Web」は、何かしらのPUPを実行すると、Google Chrome・Torch Browser・Comodo Dragon Internet Browserの設定画面中にひっそりと紛れ込む、とのこと。

そして設定画面の「拡張機能」を開くと、インストールした覚えのない「Evernote Web」が表示されています。

しかし、本物の「Evernote Web」は設定画面内には表示されず、アプリ一覧に表示されるのみ。

「こんな拡張機能インストールしたっけな？」と設定画面の「Visit website」をクリックすると、本物の「Evernote Web」のChromeウェブストア上のページに飛ばされます。そしてChromeは本物の拡張機能がインストールされていると勘違いして、画面右上に「LAUNCH APP」ボタンを表示してしまい、このボタンをクリックすると偽物の拡張機能がインストールされてしまうわけです。この時PCの画面上では何も起きませんが、本物の「Evernote Web」を起動した場合は、新しいタブが開きEvernoteのログイン画面が表示されます。

偽物の拡張機能のデジタル署名には、「オープンソースの開発者、セルゲイ・イバノビッチ・ドロズドフ(Open Source Developer, Sergei Ivanovich Drozdov)」と記されており、一見信頼できるもののように思えますが、詳細を見てみると既に証明書は発行人によって無効にされていたそうです。Malwarebytesは、「デジタル署名があるからといって信頼できるプログラムであるとは限らないことをこの偽物は示した」とコメントしています。

なお、Windows 7を搭載したPCでGoogle Chromeの拡張機能として偽物の拡張機能をインストールしてしまった場合、フォルダ内にはこんな風に3つの正体不明のJavaScriptファイルとひとつのHTMLファイルが表示されます。

偽物の拡張機能に含まれるスクリプトは、ユーザーの見ているページ情報を設定ファイル(manifest.json)経由で得て、それに則した広告を表示します。

例えば、オンラインショッピングサイトのnewegg.comを見ている際にはこんな広告が表示されます。パッと見た感じはただのポップアップ広告で、ウェブサイトがこれを表示させているかのようです。しかし、実際は偽物の拡張機能がこの広告を表示しています。

ポップアップ広告はこんな感じ。

John Deereのサイトを見ている際には、ニコニコ動画のニセFlashPlayer広告のようにソフトウェアのアップデート表示を装った悪質な広告も表示されるので十分に注意が必要。

これらは8月14日にニコニコインフォに通知された「システム更新通知を装ったマルウェアにご注意下さい」の挙動と非常に似ていますが、偽物の「Evernote Web」は通常の拡張機能を削除する方法と同じ手順で簡単に削除が可能だとのことです。