-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
拡張機能「QuickLens」が暗号資産を窃取 ClickFix攻撃も実行
BleepingComputer – February 28, 2026
Chromeのブラウザ拡張機能「QuickLens – Search Screen with Google Lens」がマルウェアを拡散し、暗号資産の窃取を試みていたことが明らかになった。現在、Googleによってストアから削除済みとのこと。
QuickLensは当初、ブラウザ内でGoogle Lens検索を直接実行できる無害な拡張機能として公開され、ユーザー数は約7,000人にまで増加。一時はGoogle公式から「注目(Featured)」のバッジも獲得していた。しかし、この拡張機能はExtensionHubで売りに出された後、2026年2月1日には所有者が「support@doodlebuggle[.]top」に移り、同月17日にはClickFix攻撃や情報窃盗機能を追加したバージョン5.8がリリースされた。
このバージョンでは、「declarativeNetRequestWithHostAccess」や「webRequest」などのブラウザ権限が新たに要求されるようになった上、Content-Security-Policy(CSP)やX-Frame-Options、X-XSS-Protectionといったブラウザのセキュリティヘッダーをあらゆるページとフレームから削除するrules.jsonファイルが追加されたそう。さらに、永続的なUUIDを生成した後、Cloudflareのtraceエンドポイントを使用して被害者の国をフィンガープリントし、ブラウザとOSを識別してから5分ごとにC2サーバーにポーリングしてコマンドを取得していた。
BleepingComputerの分析によると、QuickLensはC2サーバー「https://api.extensionanalyticspro[.]top/extensions/callback?uuid=[uuid]&extension=kdenlnncndfnhkognokgfpabgkgehoddto」に接続し、有害なJavaScriptのスクリプトを受信。「1×1 GIF pixel onload trick」と呼ばれる手法によってページ読み込みが行われるたびに実行される。被害者が訪れるすべてのサイトのCSPヘッダーを削除するため、セキュリティ機能が無効化され、インラインでJavaScriptの実行が可能な状態になっていた。
最初のペイロードは「google-update[.]icu」にアクセスし、偽のGoogle Updateプロンプトを表示する追加ペイロードを受信。更新ボタンをクリックするとClickFix攻撃用の画面が表示され、認証ステップと称して被害者にコードの実行を促す。攻撃が成功した場合、Windows上では「Hubei Da’e Zhidao Food Technology Co., Ltd.」の証明書で署名された「googleupdate.exe」がダウンロードされる。実行後、マルウェアは隠しPowerShellコマンドを起動し、「Katzilla」ユーザーエージェントを使用して「drivers[.]solutions/META-INF/xuoa.sys」に接続するためにPowerShellインスタンスを追加で生成。また、レスポンスは「Invoke-Expression」にパイプされる。さらなる分析は、URLからの配信が無効になったため行われなかったとのこと。
C2サーバーから配信された別の悪意のあるJavaScriptは、MetaMask・Phantom・Coinbase Wallet・Trust Wallet・Solflare・Backpack・Brave Wallet・Exodus・Binance Chain Wallet・WalletConnect・Argonのウォレットがインストールされているか確認し、アクティビティ情報とシードフレーズを窃取し、資産を盗み取る性能を有していた。また別のスクリプトは、認証情報や決済情報、その他の機密フォームデータを収集したとされる。加えて、Gmailの受信トレイのスクレイピングや、Facebookビジネスマネージャーの広告アカウントデータの抽出、YouTubeチャンネル情報の収集を行うペイロードも確認されている。
GoogleはChrome WebストアからQuickLensを削除し、Chromeが自動的にQuickLensを無効化するように設定。この拡張機能をインストールした場合、完全に削除されていることを確認し、デバイスをスキャンし、ブラウザに保存したすべての認証情報のパスワードをリセットする必要がある。また、上記の暗号資産ウォレットのいずれかを使用している場合は、資金を新しいウォレットに転送することが推奨される。
【無料配布中レポート】
各種レポートを無料配布中!バナー画像よりダウンロード可能です。
2025年のサイバーセキュリティまとめ・分析レポート
地政学レポート
【最新版】インテリジェンス要件定義に関するガイドブック
-300x200.png)
OSINT関連レポート
ディープ&ダークウェブレポート
