初回投稿 2018年3月17日
最終更新 2019年10月5日

【危険】Firefox向け拡張機能ウイルスがヤバい! 感染経路と対策は?

animal_lesserpanda

次のような名前で Mozilla Firefox ブラウザ向けに怪しい不審な ブラウザ拡張機能 がいろいろと投入されているので、ご注意ください! 

  • Web Guard

  • WebSecure」「Web Secure

  • Identity Guard Safe Browsing

  • Complete Browser Protection

  • Privacy Toolkit

  • Get Security

  • Activate security

  • Full account

  • Tool shield expert」 「Host smart OS
    など

ただ、セキュリティ関連でもっともらしそうな拡張機能を装っていたり、単に拡張機能の名称だけで見極めるのはだいぶ難しく、イヤらしいですな。

ブラウザ拡張機能の説明文は、まったく関係ない正当なブラウザ拡張機能の文章をパクって悪用している事例も確認しています。

イメージ 2

Web Guard
Unmatched adblock extension against advertising and pop-ups. Blocks ads on Facebook, Youtube and all other websites.AdGuard AdBlocker effectively blocks all types of advertising on all web pages, even on Facebook, YouTube, and others! Firefly
Web Secure
WEB Secure does a great job at ranking sites by reputation, and will show you whether a specific site has been known to host malware or is loaded with tracking cookies and scripts that could result in malware or adware on your system. Firefly
Webtrust.Checker / WebSecure
WTC does a great job at ranking sites by reputation, and will show you whether a specific site has been known to host malware or is loaded with tracking cookies and scripts that could result in malware or adware on your system. Firefly
Identity Guard Safe Browsing
The Identity Guard Safe Browsing extension includes many features that protect your privacy and secure your browsing experience. The Identity Guard Safe Browsing extension includes many features that protect your privacy and secure your browsing experience. You must be a Identity Guard subscriber to activate the extension and turn on its features. Features: - Anti Phishing: protection against phishing attacks. Identity Guard collects information on recently discovered phishing sites and updates your extension in near real time. If a phishing site is detected, you'll see a warning page that prevents the malicious site from loading. Firefly
Complete Browser Protection
Blocks unwanted popups and ads on sites you visit. You will see a notification when any popup/ads is blocked. Blocks unwanted popups and popunders on sites you visit. You will see a notification when any popup is blocked. You can add sites to whitelist to ignore this. White list is synchronised to all chrome browsers that you are signed in. Firefly
Privacy Toolkit
Keep your searches private by redirecting searches that may be tracked to Privacy Toolkit, a privacy-focused search engine. Privacy Toolkit by Search Encrypt helps you protect your data on the internet. Privacy Toolkit by Search Encrypt lets you browse the internet without worrying about compromising your privacy and security. It works to expose vulnerabilities in the sites you visit and protects you from online security threats. Privacy Toolkit keeps your private information safe by detecting and warning you about privacy issues on the web. - Force HTTPS: When you visit a site that supports HTTPS, we automatically force the site to load its secure, HTTPS version. - Block Trackers: Privacy Toolkit blocks trackers on the websites you visit. We help keep your browsing private by automatically blocking web trackers. - Intercept & Redirect: If Privacy Toolkit detects that your searches are insecure, it redirects your search to Search Encrypt's private search engine. - Identify Insecure Cookies: If cookies aren't set up with the proper security
Get Security
Security Twaeks is an extension that help you improve your security while browsing by using seven different techniques. 1. Block most common ads. 2. Block third-party JavaScript. 3. Enable safe-browsing. 4. Block cookies. 5. Block inline-script. 6. Block Flash contents.7. Block most common malware URLs.

Firefox 拡張機能ウイルスの感染経路は?

そんな不正な Firefox ブラウザ拡張機能がどのように配布されているのか…。
感染経路はど~こどこ?

手元で確認しているパータンが、必ずしも怪しいとは限らない国内外の一般サイトをネットサーフィン中に、裏でリダイレクト型広告コンテンツが読み込まれて、強制的に誘導されて行き着いた怪しいページです。 

イメージ 3
Firefox に拡張機能を追加するよう案内する不正なページ

【表示される通知メッセージ1】
Click OK to close this window
□ Prevent this page from creating additional dialogues
【表示される通知メッセージ2】
確認する
続行するには、手動アップデートを実行する必要があります。 [OK] [キャンセル]


Firefox の通知をゼッタイに無視するな!

このブラウザ拡張機能は Firefox に 勝手に強制インストールされることはありません

まず、次のようにユーザーに対して Firefox ブラウザが通知ポップアップをキッチリ表示して、拡張機能を追加しても問題ないか、許可をとる確認場面が存在します。

イメージ 5

イメージ 4

ココで問題の拡張機能を取り込むため、Firefox ユーザーさんが 「ポチッ」 「ポチッ」 とボタンを 2回 押して許可を出す作業を行わないといけません。


《確認場面 その1》 警告通知のポップアップ表示

このブラウザ拡張機能のダウンロード配布場所は、Mozilla が管理しているアドオン配布サイト addons.mozilla.org (AMO) ではありません!

そのため、ユーザーに対して危険性を指摘して警告を行うようになっていて、要は 道の落ちている食べ物を拾い食い させる攻撃手口となります。

【通知ポップアップの表示例1】
[URL]
このサイトからは Firefox にソフトウェアをインストールできない設定になっています。
[許可する(A)] [許可しない(D)]
【通知ポップアップの表示例2】
[URL] にアドオンのインストールを許可しますか?
[URL] からアドオンをインストールしようとしています。続行するには、このサイトを許可サイトに設定する必要があります。無題な濃いログ
[インストールを続行(C)] [許可しない(D)]

対策として [許可する(A)] ボタンを押すな! 押すな!
対策として [インストールを続行(C)] ボタンを押すな! 押すな!


《確認場面 その2》 確認通知のポップアップ表示

そして、ブラウザ拡張機能の動作内容を示した上で、Firefox ブラウザに追加しても構わないか、ユーザーに対して最終確認を行います。

【通知ポップアップの表示例】
[拡張機能の名前] を追加しますか?
あなたの許可が必要です:
・すべてのウェブサイトの保存されたデータへのアクセス
・ブラウザーのタブへのアクセス 無題な濃いログ
・ナビゲーション中のブラウザーアクティビティへのアクセス
[追加(A)] [キャンセル(C)]

対策として [追加(A)] ボタンを押すな! 押すな!


それこそ Firefox ユーザーさんを根負けさせようと、何度もしつこく通知ポップアップを表示する動作があって、激しい猛攻から誤クリックして拡張機能をうっかり登録する危険性があるから、ヤバいです。

無視してはいけない確認場面を素通りして、不正な拡張機能を Firefox にウェルカムして追加してしまうと、ホントどうこうにもなりません。 


不正な拡張機能の配布ページの消し方

この配布ページの対処方法は?

イメージ 6

  • [ESC] キーをポチッ
    → ブラウザのダイアログを消す

  • [CTRL + W] キーの同時押し
    → ブラウザのタブを閉じる

「ブラウザのタブを閉じる」 「ブラウザを終了させる」 ことで、とにかく不正なページからサッサと離脱して解決です。

不正なブラウザ拡張機能ウイルスの詳細

ユーザー数が圧倒的に多い Google Chrome ブラウザに同種のブラウザ拡張機能が投入されている感触はなく、Firefox のみが攻撃ターゲットの模様です。

【不正な Firefox ブラウザ拡張機能】
C:\Users\[ユーザー名]\AppData\Roaming\Mozilla\Firefox\Profiles\[プロファイル名]\Extensions

{e2cfccd9-65e6-433f-fb13-fb6909778ae5}.xpi
{bf15ca64-b755-4704-dec0-faa8545a2e66}.xpi
{63e43ceb-41f4-4cce-d108-3517e5e90733}.xpi
{1c94bc8a-3ac1-12e1-aae7-0b314772229c}.xpi
{22ffe411-2b0e-11e9-87f9-c329f1f9c8d2}.xpi
{333fb3de-18a8-18e8-b6d3-e73213911efb}.xpi
{17052516-09be-11e9-a008-03419f6c8bc6}.xpi
{cf4bae43-026f-4e7e-a85a-952a7ca697a1}.xpi
{83768008-e10c-48c0-b303-5a0f1de763a1}.xpi
{56a1e8d2-3ced-4919-aca5-ddd58e0f31ef}.xpi
{b6d09408-a35e-11e7-bc48-f3e9438e081e}.xpi
{c11f85de-0bf8-11e7-9dcd-83433cae2e8e}.xpi
{f9f072c8-5357-11e7-bb4c-c37ea2335fb4}.xpi
【関連する不正なドメイン】
livechecker[.]eu
mozilla-privacy[.]com
my-secure[.]org
saferbrowsing[.]eu
updeta-ff-ext-secure[.]eu
www-secure[.]org
www-guard[.]com
www-guard[.]eu
guard-browsing[.]com
enable-privacy[.]org
guard-web[.]com

#websecure #secure #webguard #guard #malicous #malware #virus #mozilla #firefox #addon #extension #cpu #remove #removal #monero #miner #mining

関連するブログ記事
偽警告対策に有効 IE11ブラウザで広告ブロック方法♪ 追跡防止機能

これより先はプライベートモードに設定されています。閲覧するには許可ユーザーでログインが必要です。