퍼플렉시티 위장한 크로미움 기반 악성 확장 프로그램 발견
검색 트래픽 가로채는 ‘검색 하이재킹’ 수법으로 정보 탈취 시도
[보안뉴스 조재호 기자] 마이크로소프트(MS) 위협 인텔리전스 팀은 AI 검색 서비스 퍼플렉시티(Perplexity)를 사칭한 악성 구글 크롬 확장 프로그램이 대거 유포되고 있다고 경고했다. 이번에 발견된 악성 크로미움(Chromium) 확장 프로그램은 전 세계적으로 폭발적인 관심을 받고 있는 인공지능 트렌드를 미끼로 삼아 사용자들의 다운로드를 유도하고 있다.
[출처: 마이크로소프트]
공격자는 퍼플렉시티 공식 로고와 브랜딩을 복제해 사용자가 정상적인 서비스 플러그인으로 오인하도록 조작했다. 해당 프로그램이 브라우저에 설치되면 ‘검색 하이재킹’(Search Hijacking) 기법이 즉각 작동한다. 이는 브라우저의 주소창이나 검색창에 입력되는 사용자의 웹 검색 질의(Query)를 중간에서 가로채 공격자가 사전에 설정한 원격 서버로 강제 우회시키는 기술이다.
해당 악성 프로그램은 퍼플렉시티의 실제 서비스 주소인 perplexity[.]ai를 사칭하기 위해 perplexity-ai[.]online이라는 유사 도메인을 사용했다. 이 프로그램이 설치되면 브라우저의 기본 검색 엔진으로 설정되는데, 사용자가 검색을 하면 쿼리가 유사 도메인으로 전송되고, 공격자의 서버는 사용자의 브라우저 헤더·IP 주소·사용자 에이전트와 함께 해당 쿼리를 기록해 가로채는 방식이다.
이러한 네트워크 트래픽 우회 과정을 통해 공격자는 사용자가 요청한 정상적인 검색 결과 페이지 대신 자신들의 코드가 심어진 위조된 제휴 웹사이트 링크를 우선 노출시킨다. 그 결과 웹 트래픽이 부당한 광고 수익 창출에 악용될 뿐만 아니라 검색 질의에 포함될 수 있는 개인의 관심사 금융 정보 등 민감한 데이터가 해커의 서버로 고스란히 전송되어 정보 유출 피해로 이어질 가능성이 제기된다.
MS 측은 이번 위협에 대비해 신뢰할 수 없는 브라우저 확장 프로그램 설치 제한과 함께 확장 프로그램 게시자와 도메인, 브랜딩 페이지를 확인하라고 조언했다. 또, 브라우저 검색 설정의 무단 변경이나 비정상적인 확장 프로그램 권한, 검색 활동과 관련된 비표준 도메인으로의 트래픽 모니터링 등의 대책을 제시했다. 또, MS 엣지(Edge) 기능이나 MS 디펜더(Defender) 스마트스크린 기능을 활용하는 등 각별한 주의가 필요하다고 덧붙였다.
[조재호 기자(zephyr@boannews.com)]
검색 트래픽 가로채는 ‘검색 하이재킹’ 수법으로 정보 탈취 시도
[보안뉴스 조재호 기자] 마이크로소프트(MS) 위협 인텔리전스 팀은 AI 검색 서비스 퍼플렉시티(Perplexity)를 사칭한 악성 구글 크롬 확장 프로그램이 대거 유포되고 있다고 경고했다. 이번에 발견된 악성 크로미움(Chromium) 확장 프로그램은 전 세계적으로 폭발적인 관심을 받고 있는 인공지능 트렌드를 미끼로 삼아 사용자들의 다운로드를 유도하고 있다.
[출처: 마이크로소프트]
공격자는 퍼플렉시티 공식 로고와 브랜딩을 복제해 사용자가 정상적인 서비스 플러그인으로 오인하도록 조작했다. 해당 프로그램이 브라우저에 설치되면 ‘검색 하이재킹’(Search Hijacking) 기법이 즉각 작동한다. 이는 브라우저의 주소창이나 검색창에 입력되는 사용자의 웹 검색 질의(Query)를 중간에서 가로채 공격자가 사전에 설정한 원격 서버로 강제 우회시키는 기술이다.
해당 악성 프로그램은 퍼플렉시티의 실제 서비스 주소인 perplexity[.]ai를 사칭하기 위해 perplexity-ai[.]online이라는 유사 도메인을 사용했다. 이 프로그램이 설치되면 브라우저의 기본 검색 엔진으로 설정되는데, 사용자가 검색을 하면 쿼리가 유사 도메인으로 전송되고, 공격자의 서버는 사용자의 브라우저 헤더·IP 주소·사용자 에이전트와 함께 해당 쿼리를 기록해 가로채는 방식이다.
이러한 네트워크 트래픽 우회 과정을 통해 공격자는 사용자가 요청한 정상적인 검색 결과 페이지 대신 자신들의 코드가 심어진 위조된 제휴 웹사이트 링크를 우선 노출시킨다. 그 결과 웹 트래픽이 부당한 광고 수익 창출에 악용될 뿐만 아니라 검색 질의에 포함될 수 있는 개인의 관심사 금융 정보 등 민감한 데이터가 해커의 서버로 고스란히 전송되어 정보 유출 피해로 이어질 가능성이 제기된다.
MS 측은 이번 위협에 대비해 신뢰할 수 없는 브라우저 확장 프로그램 설치 제한과 함께 확장 프로그램 게시자와 도메인, 브랜딩 페이지를 확인하라고 조언했다. 또, 브라우저 검색 설정의 무단 변경이나 비정상적인 확장 프로그램 권한, 검색 활동과 관련된 비표준 도메인으로의 트래픽 모니터링 등의 대책을 제시했다. 또, MS 엣지(Edge) 기능이나 MS 디펜더(Defender) 스마트스크린 기능을 활용하는 등 각별한 주의가 필요하다고 덧붙였다.
[조재호 기자(zephyr@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.png)
.jpg)
.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
