今週、Google Chromeユーザー向けに新たな重大警告が公表された。絶対に使用してはならないウェブサイトのリストが公開されたのだ。ただし、ここには見抜くコツがある。これらのウェブサイトは大手ブランドを装い、危険なマルウェアをインストールさせようとユーザーを欺く。しかし、見分け方は簡単で、下記に示すリストを見るよりも、もっと容易に安全を保つ手段がある。
100を超える偽ウェブサイト
すでにChromeユーザーには重大なアップデート警告が出ているが、DomainToolsが100を超えるウェブサイトを発見した(GitHub上で公開されたリスト)。これらのサイトは「正規のサービスや生産性ツール、広告やメディアの作成・分析アシスタント、VPN、暗号資産、銀行関連などを装っている」という。そして、それぞれのサイトには「Get Chrome Extension」(Chrome拡張を取得) または「Add to Chrome」(Chromeに追加) と書かれたボタンが用意されている。
DomainToolsによれば、これらの拡張機能はグーグルの「Chromeウェブストア」にあるものと対応しているように見せかけているが、「多くは二重の機能を持ち、表向きは意図どおりに動作するように見える一方で、悪意のあるサーバーに接続してユーザーデータを送信し、コマンドを受信し、任意のコードを実行する」という。
DomainToolsは、偽のDeepSeek、YouTube、Flight Radar、Calendly、VPNといったウェブサイトや拡張機能を具体例として挙げている。これらの拡張機能は部分的には正常に作動するが、「過剰な権限を設定しており、ブラウザーが訪問するすべてのサイトとやり取りし、攻撃者が管理する他のドメイン群から任意のコードを取得・実行できる」という。
当然のことながら、ホスティングインフラストラクチャ(サーバー基盤)は攻撃全体で共通している。DeepSeekやYouTubeを模倣することは単純なブランドハイジャック(ブランドの乗っ取り)だが、Chromeユーザーを攻撃する手段として偽のVPN拡張機能を使用することは、皮肉以外のなにものでもない。
これらのVPN拡張機能は、悪意のあるバックエンドクライアントに接続して「コマンドを待ち受ける」。指示を受けると、拡張機能が「chrome.cookies.getAll({})を使用してすべてのブラウザークッキーを取得する」。さらに、開いているChromeタブにスクリプトを挿入して、独自の悪意のあるコードを実行することさえできるのだ。
