멀버타이징 캠페인은 이제 ‘유행’이 아니다. 그냥 늘상 거기에 있는, 꺼지지 않는 불과 같은 것이다. 다만 약간의 세부 내용들이 조금씩 바뀔 뿐인데, 최근에는 유명 비밀번호 관리 프로그램을 사칭한 캠페인이 눈에 띄고 있다.
[보안뉴스 문정후 기자] 악성 광고를 통해 피해자들을 속여 멀웨어를 퍼트리는 수법, 이른 바 멀버타이징이 수면 아래에서 끝도 없이 진행되고 있다. 최근 보안 업체 비트디펜더(Bitdefender)는 페이스북이라는 유명 소셜미디어에서 진행된 멀버타이징 캠페인 하나에 주목했으며, 추적 결과를 발표하기도 했다. 흔한 멀버타이징 캠페인이기도 하면서 아닌, 그런 내용들이 이 공격 캠페인 뒤에 숨어 있었다.
[이미지 = gettyimagesbank]
결론부터 말해 이번 멀버타이징의 주요 특징을 정리하자면 다음과 같다.
1) 페이스북의 광고 플랫폼을 공격적으로 활용하여 합법적으로 보이는 광고를 내보내 피해자들을 악성 웹사이트로 유도한다.
2) 인기가 높은 비밀번호 관리 프로그램인 비트워든(Bitwarden)을 사칭함으로써 피해자들의 신뢰를 악용하고, 거기에 더해 보안 업데이트를 해야 한다는 내용으로 긴박감을 조성하기까지 한다.
3) 이 캠페인은 2024년 11월 3일에 시작됐고, 유럽 지역에 거주하는 18~65세 일반 사용자들과 소비자들을 노리고 있다.
4) 이미 전 세계적으로 수천만 명이 이 광고를 봤으며, 따라서 피해는 전 지구적으로 퍼질 가능성이 있다.
5) 광고를 클릭한 피해자는 여러 사이트로 우회 접속되며, 결국 크롬 웹스토어를 모방한 가짜 페이지에 도달한다.
6) 공격자들은 피해자들의 ‘페이스북 비즈니스’ 계정을 노리고 있으며, 따라서 개인만이 아니라 기업의 손실을 야기할 수도 있다.
1단계 : 광고를 통한 유인
공격자는 페이스북에 가짜 광고를 하나 낸다. 이 광고 페이지에는 비트워든이라는 유명 브랜드에서부터 나온 경고가 포함되어 있다. “당신의 비밀번호가 위험하다”라는 내용이다. 유명 브랜드와 공포심 조장의 콜라보레이션이라고 할 수 있다. 그래서 피해자가 이 광고를 클릭하면 크롬 웹스토어를 흉내 내 만든 가짜 페이지에 접속하게 된다. 피해자가 가짜 페이지인 걸 모르고 ‘크롬에 추가하기’ 버튼을 누르면 구글드라이브(Google Drive) 링크로 우회 접속되어 결국 집(zip) 파일 하나가 다운로드 되는데, 이를 설치하려면 다음과 같은 방법을 따라야 한다고 공격자는 안내한다.
1) 파일 압축 해제
2) chrome://extensions로 이동하여 브라우저 플러그인 설정창 열기
3) 개발자 모드 활성화
4) 플러그인을 수동으로 로딩(즉, 사이드로딩)
이렇게 함으로써 피해자 스스로가 보안 점검 장치들을 우회하게 된다. 물론 피해자는 그 사실을 모른다.
2단계 : 권한 설정
이렇게 해서 성공적으로 설치된 악성 플러그인은 그 때부터 사용자의 온라인 활동을 모니터링하고 기록한다. 물론 그러려면 먼저 선행되어야 하는 게 있는데 바로 ‘권한 상승’이다. 때문에 악성 플러그인은 피해자가 권한을 새롭게 설정하도록 하는데, 과도한 권한을 요청하고 피해자가 이를 수락하게 하는 방식으로 한다. “피해자가 접속한 모든 웹사이트에서 작동하고, 네트워크 요청을 수정하고, 스토리지와 쿠키에도 접근할 수 있는 권한을 요구합니다.” 비트디펜더는 권한 설정을 잘못하면 프라이버시와 개인정보가 심각하게 위협을 받는다며, 그 어떤 상황에서도 권한 요청에 함부로 응하면 안 된다고 강조한다.
3단계 : 데이터 수집과 유출
악성 플러그인에는 백그라운드(background.js)라는 스크립트가 포함되어 있는데, 이 스크립트가 이 멀버타이징 캠페인의 핵심이라고 할 수 있다. 비트디펜더가 분석한 바에 따르면 이 스크립트는 다음과 같은 기능을 수행한다고 한다.
1) 쿠키 수집
2) IP 주소 및 지리적 위치 데이터 수집
3) 페이스북 관련 데이터 추출
4) 수집된 데이터를 C&C 서버로 전송
어떻게 방어하나
비트디펜더는 이번 캠페인이 페이스북이나 구글 드라이브와 같은 유명 플랫폼을 악용하기 때문에 탐지와 완화 모두 까다로워진다는 특징을 가지고 있다고 설명한다. “이 때문에 보안 담당자라면 권한이 어떤 식으로 설정되고 배분되어 있는지를 파악하고 모니터링 해야 합니다. 이 캠페인의 경우, declarativeNetRequest와 webRequest 권한이 쿠키 접근과 결합되었을 때 특히 주의해야 합니다. 그 외에 난독화된 함수를 호출한다든지, graph.facebook.com API를 호출하는 것 역시 위험 신호로 받아들여야 합니다.”
사용자들은 어떻게 해야 할까? 비트디펜더는 다음과 같은 보안 수칙을 지켜야 한다고 강조한다.
1) 플러그인의 버전과 업데이트 유무 확인
2) 눈에 보이는 광고와, 연결되어야 할 링크 주소를 면밀히 비교. 특히 긴급 보안 업데이트를 강조한 광고일 경우
3) 플러그인 권한도 점검
4) 개발 모드가 아니라면 모든 보안 기능을 활성화 하여 사이드로딩을 방지
5) 의심스러운 광고가 보이면 신고
6) 적절한 보안 솔루션을 설치 및 사용
3줄 요약
1. 유명 플랫폼 사용할 땐 광고를 특히 조심해야 함.
2. 멀버타이징은 구글, 페이스북 등과 같은 플랫폼에서 이미 역사가 유구함.
3. 최근에는 비트워든을 사칭한 캠페인이 진행되고 있으니 유의해야 함.₩
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 악성 광고를 통해 피해자들을 속여 멀웨어를 퍼트리는 수법, 이른 바 멀버타이징이 수면 아래에서 끝도 없이 진행되고 있다. 최근 보안 업체 비트디펜더(Bitdefender)는 페이스북이라는 유명 소셜미디어에서 진행된 멀버타이징 캠페인 하나에 주목했으며, 추적 결과를 발표하기도 했다. 흔한 멀버타이징 캠페인이기도 하면서 아닌, 그런 내용들이 이 공격 캠페인 뒤에 숨어 있었다.
[이미지 = gettyimagesbank]
결론부터 말해 이번 멀버타이징의 주요 특징을 정리하자면 다음과 같다.
1) 페이스북의 광고 플랫폼을 공격적으로 활용하여 합법적으로 보이는 광고를 내보내 피해자들을 악성 웹사이트로 유도한다.
2) 인기가 높은 비밀번호 관리 프로그램인 비트워든(Bitwarden)을 사칭함으로써 피해자들의 신뢰를 악용하고, 거기에 더해 보안 업데이트를 해야 한다는 내용으로 긴박감을 조성하기까지 한다.
3) 이 캠페인은 2024년 11월 3일에 시작됐고, 유럽 지역에 거주하는 18~65세 일반 사용자들과 소비자들을 노리고 있다.
4) 이미 전 세계적으로 수천만 명이 이 광고를 봤으며, 따라서 피해는 전 지구적으로 퍼질 가능성이 있다.
5) 광고를 클릭한 피해자는 여러 사이트로 우회 접속되며, 결국 크롬 웹스토어를 모방한 가짜 페이지에 도달한다.
6) 공격자들은 피해자들의 ‘페이스북 비즈니스’ 계정을 노리고 있으며, 따라서 개인만이 아니라 기업의 손실을 야기할 수도 있다.
1단계 : 광고를 통한 유인
공격자는 페이스북에 가짜 광고를 하나 낸다. 이 광고 페이지에는 비트워든이라는 유명 브랜드에서부터 나온 경고가 포함되어 있다. “당신의 비밀번호가 위험하다”라는 내용이다. 유명 브랜드와 공포심 조장의 콜라보레이션이라고 할 수 있다. 그래서 피해자가 이 광고를 클릭하면 크롬 웹스토어를 흉내 내 만든 가짜 페이지에 접속하게 된다. 피해자가 가짜 페이지인 걸 모르고 ‘크롬에 추가하기’ 버튼을 누르면 구글드라이브(Google Drive) 링크로 우회 접속되어 결국 집(zip) 파일 하나가 다운로드 되는데, 이를 설치하려면 다음과 같은 방법을 따라야 한다고 공격자는 안내한다.
1) 파일 압축 해제
2) chrome://extensions로 이동하여 브라우저 플러그인 설정창 열기
3) 개발자 모드 활성화
4) 플러그인을 수동으로 로딩(즉, 사이드로딩)
이렇게 함으로써 피해자 스스로가 보안 점검 장치들을 우회하게 된다. 물론 피해자는 그 사실을 모른다.
2단계 : 권한 설정
이렇게 해서 성공적으로 설치된 악성 플러그인은 그 때부터 사용자의 온라인 활동을 모니터링하고 기록한다. 물론 그러려면 먼저 선행되어야 하는 게 있는데 바로 ‘권한 상승’이다. 때문에 악성 플러그인은 피해자가 권한을 새롭게 설정하도록 하는데, 과도한 권한을 요청하고 피해자가 이를 수락하게 하는 방식으로 한다. “피해자가 접속한 모든 웹사이트에서 작동하고, 네트워크 요청을 수정하고, 스토리지와 쿠키에도 접근할 수 있는 권한을 요구합니다.” 비트디펜더는 권한 설정을 잘못하면 프라이버시와 개인정보가 심각하게 위협을 받는다며, 그 어떤 상황에서도 권한 요청에 함부로 응하면 안 된다고 강조한다.
3단계 : 데이터 수집과 유출
악성 플러그인에는 백그라운드(background.js)라는 스크립트가 포함되어 있는데, 이 스크립트가 이 멀버타이징 캠페인의 핵심이라고 할 수 있다. 비트디펜더가 분석한 바에 따르면 이 스크립트는 다음과 같은 기능을 수행한다고 한다.
1) 쿠키 수집
2) IP 주소 및 지리적 위치 데이터 수집
3) 페이스북 관련 데이터 추출
4) 수집된 데이터를 C&C 서버로 전송
어떻게 방어하나
비트디펜더는 이번 캠페인이 페이스북이나 구글 드라이브와 같은 유명 플랫폼을 악용하기 때문에 탐지와 완화 모두 까다로워진다는 특징을 가지고 있다고 설명한다. “이 때문에 보안 담당자라면 권한이 어떤 식으로 설정되고 배분되어 있는지를 파악하고 모니터링 해야 합니다. 이 캠페인의 경우, declarativeNetRequest와 webRequest 권한이 쿠키 접근과 결합되었을 때 특히 주의해야 합니다. 그 외에 난독화된 함수를 호출한다든지, graph.facebook.com API를 호출하는 것 역시 위험 신호로 받아들여야 합니다.”
사용자들은 어떻게 해야 할까? 비트디펜더는 다음과 같은 보안 수칙을 지켜야 한다고 강조한다.
1) 플러그인의 버전과 업데이트 유무 확인
2) 눈에 보이는 광고와, 연결되어야 할 링크 주소를 면밀히 비교. 특히 긴급 보안 업데이트를 강조한 광고일 경우
3) 플러그인 권한도 점검
4) 개발 모드가 아니라면 모든 보안 기능을 활성화 하여 사이드로딩을 방지
5) 의심스러운 광고가 보이면 신고
6) 적절한 보안 솔루션을 설치 및 사용
3줄 요약
1. 유명 플랫폼 사용할 땐 광고를 특히 조심해야 함.
2. 멀버타이징은 구글, 페이스북 등과 같은 플랫폼에서 이미 역사가 유구함.
3. 최근에는 비트워든을 사칭한 캠페인이 진행되고 있으니 유의해야 함.₩
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
