”Capture-All”(Chromeの拡張機能)が全てのブラウジング情報をキャプチャ
この記事を読んでいる読者にとって、Chromeの拡張機能にマルウェアが存在する事は、もはや”当たり前”と感じているだろう。
しかし今回この記事で紹介されている拡張機能は、なかなか厄介なマルウェアのようだ。
その拡張機能は、Catch-Allと名付けられている。
Catch-Allの発見
SANSのInternet Storm Centerのセキュリティ研究者であるMarinho氏は、ある拡張機能がフィッシングメールによって拡散している事を発見した。
フィッシングメールには、画像ファイルへのリンクが貼られており、受取人がクリックすると画像を表示せずに”whatsapp.exe”(Dropper)をダウンロードする。
Catch-Allを入れる準備
Catch-Allは、拡張機能をインストールする為の事前準備を行う。
”whatsapp.exe”が実行されると、Adobe PDF Readerをインストールするように要求する。
もしターゲットが”インストール”を選択してしまうと、”a.cab”というファイルをダウンロードする。
ここでダウンロードされる”a.cab”には、”md0.exe”と”md1.exe”の2つのファイルが含まれている。
1つ目の”md0.exe”が実行されると、以下の動作をする。
以上の全てが実行された場合、拡張機能”Catch-All”を解凍し、Chromeを起動する際に使われるGoogle Chrome Lanuncher(".lnk")ファイルをロードする。
"Capture-All"の動作
そして最後に、拡張機能”Capture-All”が動作を始める。
”Capture-All”はその名の通り、感染被害者がChromeを使ってやり取りするいかなる情報もキャプチャし、C&Cサーバーに送信してしまう。
勿論、被害者がウェブサイトにログインする際に使うID/パスワードの認証情報も全てキャプチャしてしまう。
攻撃者についての情報(追記: 2017/11/01)
Threatpostによれば、Catch-Allのターゲットは、ポルトガル語圏のユーザーであることが高いとされている。
その中でも、ブラジルに住んでいる人達を標的としているようだ。