アプリケーションセキュリティ企業である**Socket**は、公式の**Chrome Web Store**内で活動している100を超える悪意のある拡張機能を特定しました。これらの拡張機能は、**Google** OAuth2 Bearerトークンを窃取し、バックドアを確立し、広告詐欺を実行するように設計されています。 研究者たちは、これらの拡張機能が連携キャンペーンの一部であり、すべて同じコマンド＆コントロール（C2）インフラストラクチャと通信していることを突き止めました。 攻撃者は、Telegramサイドバークライアント、スロットマシンおよびKenoゲーム、YouTubeおよびTikTokエンハンサー、テキスト翻訳ツール、一般的なユーティリティなどのカテゴリにまたがる5つの異なる発行者IDの下でこれらの拡張機能を配布していました。 レポートによると、このキャンペーンはContabo VPSでホストされている中央バックエンドを利用しています。このバックエンドは、セッションハイジャック、ID収集、コマンド実行、および収益化を担当する複数のサブドメインに分割されています。 **Socket**の分析は、認証とセッション窃盗に関連するコード内のコメントに基づいて、ロシアのマルウェア・アズ・ア・サービス（MaaS）運用が関与していることを示唆しています。  ### データの収集とアカウントの乗っ取り 悪意のある拡張機能の最大のクラスター（合計78個）は、攻撃者が制御するHTMLを`innerHTML`プロパティを使用してユーザーインターフェイスに注入します。これにより、攻撃者はユーザーに表示されるコンテンツを操作できます。 次に大きいグループ（54個の拡張機能）は、`chrome.identity.getAuthToken`を利用して、メールアドレス、名前、プロフィール写真、**Google**アカウントIDを含む機密性の高いユーザーデータを収集します。 これらの拡張機能は、ユーザーのデータへのアクセスを許可したり、ユーザーの代わりにアクションを実行したりするアプリケーションに付与される短期的な認証情報である**Google** OAuth2 Bearerトークンも標的にしています。このトークンを侵害すると、攻撃者はユーザーになりすますことができます。  3番目のグループ（45個の拡張機能）には、ブラウザ起動時に実行される非表示の関数が含まれています。この関数はバックドアとして機能し、C2サーバーからコマンドを取得し、ユーザーの操作なしに任意のURLを開くことができます。 **Socket**によって強調された特に懸念される拡張機能の1つは、15秒ごとに**Telegram** Webセッションを窃取します。これは、`localStorage`からセッションデータを抽出し、**Telegram** Webのセッショントークンを取得して、この情報をC2に送信します。 「この拡張機能は、受信メッセージ（`set_session_changed`）も処理します。これは逆の操作を実行します。つまり、被害者のlocalStorageをクリアし、攻撃者が提供したセッションデータで上書きし、Telegramを強制的に再読み込みします」と**Socket**は説明しています。 「これにより、オペレーターは被害者のブラウザを、被害者が知らないうちに別の**Telegram**アカウントに切り替えることができます。」 研究者たちはまた、セキュリティヘッダーを剥奪し、**YouTube**および**TikTok**に広告を注入するように設計された3つの拡張機能、悪意のあるサーバーを介して翻訳リクエストをプロキシする1つの拡張機能、およびステージングされたインフラストラクチャを利用する非アクティブな**Telegram**セッション窃盗拡張機能も特定しました。 **Socket**はキャンペーンを**Google**に報告しましたが、レポートの発行時点では、すべての悪意のある拡張機能が**Chrome Web Store**で利用可能でした。 BleepingComputerは、**Socket**のレポートにリストされている多くの拡張機能がまだアクティブであることを確認しました。同社は**Google**にコメントを求めていますが、まだ返答を得ていません。 ユーザーは、インストールされている拡張機能を**Socket**が公開したIDと照合し、一致するものがあれば直ちにアンインストールすることを強くお勧めします。