マルウェアChrome Cookieを盗み、アカウントを乗っ取る |Malwarebytes

メールの添付ファイルが、悪意のあるChrome インストールにつながります。研究者によると、これはフィッシングメールを介して配信されるWindows の一部であるとのことです。このマルウェアは、Chrome Messagingを悪用して、制御をブラウザからホストシステムへと移します。その最も注目すべき手口は、フィッシングの誘いそのものではなく、正規のブラウザWindows 巧みに利用し、通常のワークフローの範囲内に留まりながらPowerShellを実行してデータを収集する点にあります。

この攻撃は、PDFを装ったメールの添付ファイルから始まります。このファイルには、誤解を招くような拡張子が付けられています。 .pfd.js 一見するとPDF文書のように見えますが、実際には難読化されたJavaScriptファイルであり、一時フォルダに追加のファイルを配置し、その後の感染プロセスを開始します。

その一連の処理の一環として、Chrome 、Chrome を変更します。このマルウェアは、インストールを通常の拡張機能のインストールではなく、管理者による制御された展開であるかのように見せかけます。

有効化されると、この拡張機能とそのネイティブコンパニオンは、ブラウザのクッキー、開いているタブ、URL、言語設定、およびフィンガープリントデータを収集します。また、攻撃者はこの設定をリモートコマンドチャネルとして利用し、PowerShellを起動したり、以下の内容を列挙したりする指示を送信します。 C: ドライブ。

盗み出した認証済みセッションクッキーを利用することで、攻撃者は単にパスワードを盗むだけでなく、アクティブなブラウザセッションを乗っ取ることができます。これは、多要素認証（MFA）を迂回して、被害者のブラウザですでにログイン済みのアカウントにアクセスできるため、攻撃者にとってはより有用な手段となります。

この攻撃の最も興味深い点は、ブラウザのサンドボックスとオペレーティングシステム間の橋渡しとして「Chrome Messaging」を悪用している点です。Chrome 、拡張機能が登録済みのネイティブホストと通信することがChrome 、攻撃者はこの正当な機能を悪用し、拡張機能をローカルコード実行の制御装置として利用しました。この拡張機能はPowerShellを直接起動するわけではありません。代わりに、ネイティブホストにメッセージを送信し、そのネイティブホストがホストシステム上でPowerShellを起動したり、PowerShellとやり取りしたりします。

安全に過ごすには

この種の攻撃に対する最初の防御策は、送信者を確認できない限り、メールの添付ファイルを開かないことです。さらに：

表示されているファイル名だけに頼らず、必ず実際のファイル拡張子を確認してください。
最新のリアルタイム型マルウェア対策ソリューションを使用して、悪意のある活動を検知・ブロックしてください。
お使いのデバイスにインストールされているChrome を確認し、見覚えのないものやもう使用していないものは削除してください。
万全を期すために、作業が終わったら重要なアカウントからログアウトしてください。これによりセッションが無効化されるため、たとえ誰かがセッションクッキーを盗んだとしても、それを使ってアカウントにアクセスすることはできなくなります。
重要なアカウントのログイン履歴は定期的に確認しましょう。多くのオンラインサービスでは、どのデバイスから、いつ、どこからログインしたかを確認することができます。