この記事を読んでいる読者にとって、Chromeの拡張機能にマルウェアが存在する事は、もはや”当たり前”と感じているだろう。

しかし今回この記事で紹介されている拡張機能は、なかなか厄介なマルウェアのようだ。

その拡張機能は、Catch-Allと名付けられている。

Catch-Allの発見

SANSのInternet Storm Centerのセキュリティ研究者であるMarinho氏は、ある拡張機能がフィッシングメールによって拡散している事を発見した。

フィッシングメールには、画像ファイルへのリンクが貼られており、受取人がクリックすると画像を表示せずに”whatsapp.exe”(Dropper)をダウンロードする。

Catch-Allを入れる準備

Catch-Allは、拡張機能をインストールする為の事前準備を行う。

”whatsapp.exe”が実行されると、Adobe PDF Readerをインストールするように要求する。

もしターゲットが”インストール”を選択してしまうと、”a.cab”というファイルをダウンロードする。

ここでダウンロードされる”a.cab”には、”md0.exe”と”md1.exe”の2つのファイルが含まれている。

1つ目の”md0.exe”が実行されると、以下の動作をする。

1. 端末上のWindowsFirewallを無効化
2. Chromeのプロセスを全てKill
3. セキュリティに関する拡張機能(SafeBrowsing等)を無効化

以上の全てが実行された場合、拡張機能”Catch-All”を解凍し、Chromeを起動する際に使われるGoogle Chrome Lanuncher(".lnk")ファイルをロードする。

"Capture-All"の動作

そして最後に、拡張機能”Capture-All”が動作を始める。

”Capture-All”はその名の通り、感染被害者がChromeを使ってやり取りするいかなる情報もキャプチャし、C&Cサーバーに送信してしまう。

勿論、被害者がウェブサイトにログインする際に使うID/パスワードの認証情報も全てキャプチャしてしまう。

攻撃者についての情報(追記: 2017/11/01)

Threatpostによれば、Catch-Allのターゲットは、ポルトガル語圏のユーザーであることが高いとされている。

その中でも、ブラジルに住んでいる人達を標的としているようだ。