初回投稿 2018年3月17日

<危険>Firefoxブラウザ拡張機能ウイルスの感染対策2つ

animal_lesserpanda

Mozilla Firefox を使うユーザーさんを狙って、怪しい不正な ブラウザ拡張機能 を確認しています。

  • Web Guard

  • WebSecure」「Web Secure

  • Identity Guard Safe Browsing

  • Complete Browser Protection

  • Privacy Toolkit

  • Get Security

  • Activate security

  • Full account

  • Tool shield expert」 「Host smart OS
    など

単に、ブラウザ拡張機能の名称だけを見て、危険なものか判断するのは難しいです。

  • もっともらしいセキュリティ関連の拡張機能を装っている

  • 実在する別の拡張機能に似せた名称を名乗らせている

また、ブラウザ拡張機能の説明文が、別の問題ない正当なブラウザ拡張機能で使われている文章をソックリ流用して偽装しているパターンも確認しました。

イメージ 2
「ウェブセキュア? 不正な拡張機能の例

Web Guard
Unmatched adblock extension against advertising and pop-ups. Blocks ads on Facebook, Youtube and all other websites.AdGuard AdBlocker effectively blocks all types of advertising on all web pages, even on Facebook, YouTube, and others! Firefly
Web Secure
WEB Secure does a great job at ranking sites by reputation, and will show you whether a specific site has been known to host malware or is loaded with tracking cookies and scripts that could result in malware or adware on your system. Firefly
Webtrust.Checker / WebSecure
WTC does a great job at ranking sites by reputation, and will show you whether a specific site has been known to host malware or is loaded with tracking cookies and scripts that could result in malware or adware on your system. Firefly
Identity Guard Safe Browsing
The Identity Guard Safe Browsing extension includes many features that protect your privacy and secure your browsing experience. The Identity Guard Safe Browsing extension includes many features that protect your privacy and secure your browsing experience. You must be a Identity Guard subscriber to activate the extension and turn on its features. Features: - Anti Phishing: protection against phishing attacks. Identity Guard collects information on recently discovered phishing sites and updates your extension in near real time. If a phishing site is detected, you'll see a warning page that prevents the malicious site from loading. Firefly
Complete Browser Protection
Blocks unwanted popups and ads on sites you visit. You will see a notification when any popup/ads is blocked. Blocks unwanted popups and popunders on sites you visit. You will see a notification when any popup is blocked. You can add sites to whitelist to ignore this. White list is synchronised to all chrome browsers that you are signed in. Firefly
Privacy Toolkit
Keep your searches private by redirecting searches that may be tracked to Privacy Toolkit, a privacy-focused search engine. Privacy Toolkit by Search Encrypt helps you protect your data on the internet. Privacy Toolkit by Search Encrypt lets you browse the internet without worrying about compromising your privacy and security. It works to expose vulnerabilities in the sites you visit and protects you from online security threats. Privacy Toolkit keeps your private information safe by detecting and warning you about privacy issues on the web. - Force HTTPS: When you visit a site that supports HTTPS, we automatically force the site to load its secure, HTTPS version. - Block Trackers: Privacy Toolkit blocks trackers on the websites you visit. We help keep your browsing private by automatically blocking web trackers. - Intercept & Redirect: If Privacy Toolkit detects that your searches are insecure, it redirects your search to Search Encrypt's private search engine. - Identify Insecure Cookies: If cookies aren't set up with the proper security
Get Security
Security Twaeks is an extension that help you improve your security while browsing by using seven different techniques. 1. Block most common ads. 2. Block third-party JavaScript. 3. Enable safe-browsing. 4. Block cookies. 5. Block inline-script. 6. Block Flash contents.7. Block most common malware URLs.

Firefox ブラウザ拡張機能ウイルスの感染経路

そんな不正な Firefox ブラウザ拡張機能ウイルスがどのように配布されているか…。

手元で確認している経路が、必ずしも怪しいとは限らない 国内外の一般サイトをネットサーフィン中 にリダイレクト型広告コンテンツを読み込ませて行き着いた不正なページです。 

イメージ 3
Firefox に拡張機能を追加するよう誘う不正なページ

【表示される通知メッセージ1】
Click OK to close this window
□ Prevent this page from creating additional dialogues
【表示される通知メッセージ2】
確認する
続行するには、手動アップデートを実行する必要があります。 [OK] [キャンセル]


Firefox の通知ポップアップでウイルス対策

これらブラウザ拡張機能ウイルスは、Firefox に 勝手に強制インストールされることはない です。

道の落ちている食べ物を拾い食い

次のように Firefox ブラウザが通知ポップアップを表示して追加してもいいか確認する場面が必ずあり、具体的にブラウザ拡張機能ウイルスをインストールには Firefox ユーザーさんがボタンを 「ポチッ」 「ポチッ」 と 2 回 押す作業が必須です。

イメージ 5

イメージ 4


《1》 警告通知のポップアップ表示

ブラウザ拡張機能ウイルスがダウンロードできる配布場所は、Mozilla が管理するアドオン配布サイト addons.mozilla.org (AMO) ではないので、最初に警告通知ポップアップが表示されます。

【通知ポップアップの表示例 1】
[URL]
このサイトからは Firefox にソフトウェアをインストールできない設定になっています。
[許可する(A)] [許可しない(D)]
【通知ポップアップの表示例 2】
[URL] にアドオンのインストールを許可しますか? [URL] からアドオンをインストールしようとしています。続行するには、このサイトを許可サイトに設定する必要があります。無題な濃いログ
[インストールを続行(C)] [許可しない(D)]

感染させないウイルス対策として…

  • 絶対に [許可する(A)] ボタンの方を押さないで
     または
    絶対に [インストールを続行(C)] ボタンの方を押さないで!


《2》 確認通知のポップアップ表示

そして、ブラウザ拡張機能として動作する内容を表示して、Firefox ブラウザに追加してもいいか最後の確認です。

【通知ポップアップの表示例】
[拡張機能の名前] を追加しますか?
あなたの許可が必要です:
・ すべてのウェブサイトの保存されたデータへのアクセス
・ ブラウザーのタブへのアクセス 無題な濃いログ
・ ナビゲーション中のブラウザーアクティビティへのアクセス
[追加(A)] [キャンセル(C)]

感染させないウイルス対策として…

  • 絶対に [追加(A)] ボタンの方を押さないで

この時、Firefox ユーザーさんを根負けさせんと何度もしつこく通知ポップアップを表示してくるので、激しい猛攻から誤クリックしてしまい、ブラウザ拡張機能ウイルスをうっかり取り込んでしまう危険性が残ります。


不正な配布ページから脱出する消し方

このブラウザ拡張機能ウイルスの配布ページに対処として、「ブラウザのタブを閉じる」 「ブラウザを終了させる」 ことでサッサと離脱する解決方法がコチラ!

イメージ 6

  • キーボードの [ESC] キーを押す
    → ブラウザに表示されているダイアログを消す

  • キーボードの [CTRL] + [W] キーの同時押し
    → 現在表示しているタブを閉じる

不正なブラウザ拡張機能ウイルスの詳細

ユーザー数が多い Google Chrome ブラウザにも同種のブラウザ拡張機能が投入されている感触はなく、Mozilla Firefox のみが攻撃ターゲットになっている感じ?

【不正な Firefox ブラウザ拡張機能】
C:\Users\[ユーザー名]\AppData\Roaming\Mozilla\Firefox\Profiles\[プロファイル名]\Extensions

{e2cfccd9-65e6-433f-fb13-fb6909778ae5}.xpi
{bf15ca64-b755-4704-dec0-faa8545a2e66}.xpi
{63e43ceb-41f4-4cce-d108-3517e5e90733}.xpi
{1c94bc8a-3ac1-12e1-aae7-0b314772229c}.xpi
{22ffe411-2b0e-11e9-87f9-c329f1f9c8d2}.xpi
{333fb3de-18a8-18e8-b6d3-e73213911efb}.xpi
{17052516-09be-11e9-a008-03419f6c8bc6}.xpi
{cf4bae43-026f-4e7e-a85a-952a7ca697a1}.xpi
{83768008-e10c-48c0-b303-5a0f1de763a1}.xpi
{56a1e8d2-3ced-4919-aca5-ddd58e0f31ef}.xpi
{b6d09408-a35e-11e7-bc48-f3e9438e081e}.xpi
{c11f85de-0bf8-11e7-9dcd-83433cae2e8e}.xpi
{f9f072c8-5357-11e7-bb4c-c37ea2335fb4}.xpi
【関連する不正なドメイン】
livechecker[.]eu
mozilla-privacy[.]com
my-secure[.]org
saferbrowsing[.]eu
updeta-ff-ext-secure[.]eu
www-secure[.]org
www-guard[.]com
www-guard[.]eu
guard-browsing[.]com
enable-privacy[.]org
guard-web[.]com

#websecure #secure #webguard #guard #malicous #malware #virus #mozilla #firefox #addon #extension #cpu #remove #removal #monero #miner #mining

関連するブログ記事

これより先はプライベートモードに設定されています。閲覧するには許可ユーザーでログインが必要です。