크롬 확장 프로그램 네 개, 과도한 트래픽 생성해
광고와 관련된 도메인과 연결...민감한 정보도 적잖이 새나갔을 듯
[보안뉴스 문가용 기자] 악성 크롬 확장 프로그램 네 개가 발견됐다. 클릭 사기와 검색 엔진 최적화 조작 등의 기능을 가지고 있는 것으로 나타났으며, 이미 감염된 사용자의 수가 수백만에 달한다는 것 또한 밝혀졌다. 사이버 보안 업체 아이스버그(ICEBERG)가 이와 관련된 조사 및 분석을 마쳤다.
[이미지 = iclickart]
아이스버그는 한 고객사의 워크스테이션에서 아웃바운드 트래픽이 비정상적으로 치솟는 현상을 목격했다며, 이를 조사하다가 크롬의 악성 플러그인 네 개를 발견할 수 있었다고 한다. “분석을 해보니 change-request[.]info라는 도메인으로 가는 HTTP 트래픽이었습니다. 사용자가 아니라 크롬의 확장 프로그램이 이러한 트래픽을 생성하고 있었고, 그 확장 프로그램의 이름은 Change HTTP Request Header였습니다.”
물론 확장 프로그램 자체에 지독하리만큼 악성적인 코드가 노골적으로 사용되지는 않았다. 하지만 두 가지 요소가 교모하게 결합되었을 때 임의의 자바스크립트 코드가 확장자를 통해 주입 및 실행될 수 있다. “크롬 확장 프로그램은 JSON 내에 삽입된 자바스크립트 코드를 실행할 수 있어요. 하지만 보안 문제 때문에 보통은 외부 소스로부터 JSON을 가져올 수 없게 되어 있죠. 다만 콘텐츠 보안 정책(CSP)를 통해 요청을 할 수는 있습니다.”
요청이 수락되면 크롬 확장 프로그램은 JSON을 외부 서버로부터 가져와 처리할 수 있게 된다. “이 과정에서 확장 프로그램의 개발자가 임의의 자바스크립트 코드를 주입하고 실행할 수 있게 되죠.” Change HTTP Request Header 확장자의 경우가 이랬다. update_presets() 함수를 통해 난독화 처리가 되어 있는 JSON 파일들을 change-request[.]info로부터 다운로드 받은 것이다. “이 확장 프로그램은 설치가 되자마자 크롬의 디버깅 툴부터 확인해서 감염에 대한 조치를 취하려고 하면 비활성화 시킵니다.”
여기까지 성공해서 악성 자바스크립트가 실행되면 웹소켓(WebSocket) 터널이 생성된다. 이는 피해자의 브라우저로부터 나오는 브라우징 트래픽을 프록시하는 데 사용된다. 아이스버그 측은 “트래픽을 얼마 동안 관찰했을 때, 공격자들이 웹소켓 터널을 활용해 광고와 관련된 도메인들을 방문하는 것을 목격했다”며 “클릭 수를 허위로 높이려는 캠페인과 연관성이 깊어 보인다”고 말한다. 이는 클릭 사기에 해당하는 것으로 조회수를 비정상적으로 높여 그에 따른 수익률을 불합리하게 높이는 것을 말한다.
이러한 기능을 통해 위협 행위자들이 피해자의 네트워크에 있는 내부 사이트에도 침투할 수 있다는 사실이 드러났다. 즉 네트워크 보안 장비(경계선에 있는 보안 장치)를 우회할 수도 있다는 뜻이다. “악성 코드를 주입해 클릭 사기를 감행하면서 부당한 수익을 만들 수도 있지만, 아예 네트워크 안으로 더 깊이 들어와 다른 종류의 범죄를 저지를 수도 있습니다.”
아이스버그는 분석을 이어갔고, 위 확장 프로그램 외에 다른 ‘위험한’ 확장 프로그램이 있음 또한 밝혀냈다. 해당 확장 프로그램들의 이름은 Nyoogle, Lite Bookmarks, Stickies다. 이들 모두 Change HTTP Request Header와 동일한 방식으로 작동하며, 같은 C&C 서버를 가지고 있다고 한다. “Stickies라는 확장 프로그램의 경우 코드 주입 경로가 조금 달랐습니다. 하지만 주입된 자바스크립트 자체는 다른 네 개의 확장 프로그램의 그것과 동일했습니다.”
네 개의 확장 프로그램을 다운로드 받고 설치한 사용자 수는 수백만에 달한다고 한다. “구글의 서드파티 확장 프로그램에 대한 맹목적인 신뢰도가 너무나 높습니다. 그 리스크는 전부 일반 사용자들의 몫이 되고요. 이러한 관례에 대해 다시 한 번 검토해봐야 합니다. 이 신뢰 때문에 광범위한 감염 사태가 벌어진 것이기도 합니다.”
이 크롬 확장 프로그램을 개발한 공격자들은 이미 충분한 ‘범죄 자원’을 확보한 것으로 아이스버그는 보고 있다. “이 사건으로부터 어떤 사건이 파생해서 우리에게 알려질지 아직은 모르겠습니다. 금전적인 목적을 가지고 범죄 행위를 저지르는 것으로 보이니 금융 업계와 온라인 광고 산업은 좀 더 경계태세를 취해야 할 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]
광고와 관련된 도메인과 연결...민감한 정보도 적잖이 새나갔을 듯
[보안뉴스 문가용 기자] 악성 크롬 확장 프로그램 네 개가 발견됐다. 클릭 사기와 검색 엔진 최적화 조작 등의 기능을 가지고 있는 것으로 나타났으며, 이미 감염된 사용자의 수가 수백만에 달한다는 것 또한 밝혀졌다. 사이버 보안 업체 아이스버그(ICEBERG)가 이와 관련된 조사 및 분석을 마쳤다.
[이미지 = iclickart]
아이스버그는 한 고객사의 워크스테이션에서 아웃바운드 트래픽이 비정상적으로 치솟는 현상을 목격했다며, 이를 조사하다가 크롬의 악성 플러그인 네 개를 발견할 수 있었다고 한다. “분석을 해보니 change-request[.]info라는 도메인으로 가는 HTTP 트래픽이었습니다. 사용자가 아니라 크롬의 확장 프로그램이 이러한 트래픽을 생성하고 있었고, 그 확장 프로그램의 이름은 Change HTTP Request Header였습니다.”
물론 확장 프로그램 자체에 지독하리만큼 악성적인 코드가 노골적으로 사용되지는 않았다. 하지만 두 가지 요소가 교모하게 결합되었을 때 임의의 자바스크립트 코드가 확장자를 통해 주입 및 실행될 수 있다. “크롬 확장 프로그램은 JSON 내에 삽입된 자바스크립트 코드를 실행할 수 있어요. 하지만 보안 문제 때문에 보통은 외부 소스로부터 JSON을 가져올 수 없게 되어 있죠. 다만 콘텐츠 보안 정책(CSP)를 통해 요청을 할 수는 있습니다.”
요청이 수락되면 크롬 확장 프로그램은 JSON을 외부 서버로부터 가져와 처리할 수 있게 된다. “이 과정에서 확장 프로그램의 개발자가 임의의 자바스크립트 코드를 주입하고 실행할 수 있게 되죠.” Change HTTP Request Header 확장자의 경우가 이랬다. update_presets() 함수를 통해 난독화 처리가 되어 있는 JSON 파일들을 change-request[.]info로부터 다운로드 받은 것이다. “이 확장 프로그램은 설치가 되자마자 크롬의 디버깅 툴부터 확인해서 감염에 대한 조치를 취하려고 하면 비활성화 시킵니다.”
여기까지 성공해서 악성 자바스크립트가 실행되면 웹소켓(WebSocket) 터널이 생성된다. 이는 피해자의 브라우저로부터 나오는 브라우징 트래픽을 프록시하는 데 사용된다. 아이스버그 측은 “트래픽을 얼마 동안 관찰했을 때, 공격자들이 웹소켓 터널을 활용해 광고와 관련된 도메인들을 방문하는 것을 목격했다”며 “클릭 수를 허위로 높이려는 캠페인과 연관성이 깊어 보인다”고 말한다. 이는 클릭 사기에 해당하는 것으로 조회수를 비정상적으로 높여 그에 따른 수익률을 불합리하게 높이는 것을 말한다.
이러한 기능을 통해 위협 행위자들이 피해자의 네트워크에 있는 내부 사이트에도 침투할 수 있다는 사실이 드러났다. 즉 네트워크 보안 장비(경계선에 있는 보안 장치)를 우회할 수도 있다는 뜻이다. “악성 코드를 주입해 클릭 사기를 감행하면서 부당한 수익을 만들 수도 있지만, 아예 네트워크 안으로 더 깊이 들어와 다른 종류의 범죄를 저지를 수도 있습니다.”
아이스버그는 분석을 이어갔고, 위 확장 프로그램 외에 다른 ‘위험한’ 확장 프로그램이 있음 또한 밝혀냈다. 해당 확장 프로그램들의 이름은 Nyoogle, Lite Bookmarks, Stickies다. 이들 모두 Change HTTP Request Header와 동일한 방식으로 작동하며, 같은 C&C 서버를 가지고 있다고 한다. “Stickies라는 확장 프로그램의 경우 코드 주입 경로가 조금 달랐습니다. 하지만 주입된 자바스크립트 자체는 다른 네 개의 확장 프로그램의 그것과 동일했습니다.”
네 개의 확장 프로그램을 다운로드 받고 설치한 사용자 수는 수백만에 달한다고 한다. “구글의 서드파티 확장 프로그램에 대한 맹목적인 신뢰도가 너무나 높습니다. 그 리스크는 전부 일반 사용자들의 몫이 되고요. 이러한 관례에 대해 다시 한 번 검토해봐야 합니다. 이 신뢰 때문에 광범위한 감염 사태가 벌어진 것이기도 합니다.”
이 크롬 확장 프로그램을 개발한 공격자들은 이미 충분한 ‘범죄 자원’을 확보한 것으로 아이스버그는 보고 있다. “이 사건으로부터 어떤 사건이 파생해서 우리에게 알려질지 아직은 모르겠습니다. 금전적인 목적을 가지고 범죄 행위를 저지르는 것으로 보이니 금융 업계와 온라인 광고 산업은 좀 더 경계태세를 취해야 할 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
