.gif)
유튜브 영상 재생해 클릭 수 높이거나 암호화폐 채굴하는 플러그인
삭제도 못하도록 방해...크롬은 예방 쉽고, 파이어폭스는 삭제 용이
[보안뉴스 문가용 기자] 브라우저를 하이재킹해서 누군가의 광고 클릭 수나 노출 비율을 높여주거나 엉뚱한 웹사이트로 우회시키는 멀웨어들은 사용자의 짜증을 유발시킨다. 그런데 이런 기능을 가진 ‘플러그인’도 존재한다. 게다가 자신을 삭제하지도 못하게 한다니, 사용자들은 분통이 터질 수밖에 없다.
.jpg)
[이미지 = iclickart]
최근 보안 업체 멀웨어바이츠(Malwarebytes)는 크롬과 파이어폭스 브라우저의 플러그인들 중 이러한 기능을 가진 것들을 발견했다. 사용자의 브라우저를 하이재킹 해 사용자가 원하는 걸 제대로 하지도 못하게 하고, 플러그인 삭제 정보가 나온 페이지도 자동으로 닫아버려 삭제도 못하게 한다. 당연히 정상 플러그인은 아니다. 하지만 이런 플러그인들은 계속해서 설치되고, 기업을 위협한다.
멀웨어바이츠의 첩보 분석 전문가인 피터 안츠(Pieter Arntz)는 “악성 플러그인이 보안 위협으로 불거진 것은 오래전부터”라고 말한다. “이번에 멀웨어바이츠가 발견한 플러그인들 역시 오래된 코드들을 재사용한 것으로 분석됩니다. 하지만 플러그인 관련 정보 페이지를 닫아버리고, 그럼으로써 삭제를 방해하는 행동을 보여준 크롬 및 파이어폭스 플러그인은 처음 봤습니다.”
멀웨어바이츠가 분석해본 결과 “크롬에서 발견된 플러그인은 특정한 부류의 사람들만 노리는 것”으로 밝혀졌다. “스페인어로 되어 있고, 콜롬비아 날씨 정보를 제공하는 척 위장하고 있기 때문입니다. 하지만 실제로 설치하면 크롬 창을 하나 더 켜서 최소화 시킨 후 매분 각종 유튜브 영상에 접속하죠. 유튜브 조회수를 올리고자 하는 공격으로 파악됩니다.” 이 플러그인은 실제 크롬 웹 스토어에도 버젓이 자리를 잡고 있었다고 한다.
반면 파이어폭스의 플러그인은 사용자들이 어떤 행동을 하면 무료로 특정 콘텐츠를 즐길 수 있도록 해준다며 설치를 유도한다. 여기서 ‘어떤 행동’이란 주로 광고를 본다거나 캡챠 스타일의 퍼즐을 완성하는 것이다. 하지만 실상은 암호화폐를 채굴하는 플러그인이다.
이런 악성 플러그인을 어떤 경로로 설치하게 되는 걸까? “우연히, 혹은 강제로 해당 플러그인이 배포되는 웹 페이지로 우회되었을 때 플러그인을 설치하게 됩니다. 성인 사이트, 불법 소프트웨어 배포 사이트 등에 이러한 덫들이 특히나 많죠.” 이러한 페이지는 다양한 기술로 사용자들이 ‘설치할 수밖에 없도록’ 강제한다. “자바스크립트, 로그인 창, 다양한 HTML5 속임수를 동원해 사용자들이 설치하지 않고는 빠져나가지 못하도록 합니다. 심지어 윈도우 탭도 닫지 못하게 해요.”
크롬에서 이러한 상황에 빠졌을 경우 탈출 방법은 1) 브라우저에서 새 탭을 열고 2) 공격이 일어나는 탭을 닫으면 된다. 파이어폭스 사용자라면 작업관리자를 사용해서 강제로 파이어폭스를 종료시켜야 한다.
이미 설치가 끝났다면, 파이어폭스 사용자의 경우 브라우저를 안전 모드에서 실시하면 플러그인의 작동을 멈출 수 있다. “파이어폭스 안전 모드는 브라우저에 설치된 모든 플러그인을 목록으로 만들어 보여주죠. 그래서 크롬 사용자들보다 플러그인 삭제가 더 쉬워요. 크롬에는 이런 기능이 없어 삭제 절차가 더 복잡합니다.”
크롬은 비활성화 된 플러그인까지 전부 사용자에게 보여주지 않는다. 그래서 수동으로 플러그인 폴더를 파악해야만 삭제 작업을 진행할 수 있다고 안츠는 설명한다. 멀웨어바이츠의 상세한 보고서 내용은 여기(https://blog.malwarebytes.com/threat-analysis/2018/01/new-chrome-and-firefox-extensions-block-their-removal-to-hijack-browsers/)서 열람이 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]
삭제도 못하도록 방해...크롬은 예방 쉽고, 파이어폭스는 삭제 용이
[보안뉴스 문가용 기자] 브라우저를 하이재킹해서 누군가의 광고 클릭 수나 노출 비율을 높여주거나 엉뚱한 웹사이트로 우회시키는 멀웨어들은 사용자의 짜증을 유발시킨다. 그런데 이런 기능을 가진 ‘플러그인’도 존재한다. 게다가 자신을 삭제하지도 못하게 한다니, 사용자들은 분통이 터질 수밖에 없다.
[이미지 = iclickart]
최근 보안 업체 멀웨어바이츠(Malwarebytes)는 크롬과 파이어폭스 브라우저의 플러그인들 중 이러한 기능을 가진 것들을 발견했다. 사용자의 브라우저를 하이재킹 해 사용자가 원하는 걸 제대로 하지도 못하게 하고, 플러그인 삭제 정보가 나온 페이지도 자동으로 닫아버려 삭제도 못하게 한다. 당연히 정상 플러그인은 아니다. 하지만 이런 플러그인들은 계속해서 설치되고, 기업을 위협한다.
멀웨어바이츠의 첩보 분석 전문가인 피터 안츠(Pieter Arntz)는 “악성 플러그인이 보안 위협으로 불거진 것은 오래전부터”라고 말한다. “이번에 멀웨어바이츠가 발견한 플러그인들 역시 오래된 코드들을 재사용한 것으로 분석됩니다. 하지만 플러그인 관련 정보 페이지를 닫아버리고, 그럼으로써 삭제를 방해하는 행동을 보여준 크롬 및 파이어폭스 플러그인은 처음 봤습니다.”
멀웨어바이츠가 분석해본 결과 “크롬에서 발견된 플러그인은 특정한 부류의 사람들만 노리는 것”으로 밝혀졌다. “스페인어로 되어 있고, 콜롬비아 날씨 정보를 제공하는 척 위장하고 있기 때문입니다. 하지만 실제로 설치하면 크롬 창을 하나 더 켜서 최소화 시킨 후 매분 각종 유튜브 영상에 접속하죠. 유튜브 조회수를 올리고자 하는 공격으로 파악됩니다.” 이 플러그인은 실제 크롬 웹 스토어에도 버젓이 자리를 잡고 있었다고 한다.
반면 파이어폭스의 플러그인은 사용자들이 어떤 행동을 하면 무료로 특정 콘텐츠를 즐길 수 있도록 해준다며 설치를 유도한다. 여기서 ‘어떤 행동’이란 주로 광고를 본다거나 캡챠 스타일의 퍼즐을 완성하는 것이다. 하지만 실상은 암호화폐를 채굴하는 플러그인이다.
이런 악성 플러그인을 어떤 경로로 설치하게 되는 걸까? “우연히, 혹은 강제로 해당 플러그인이 배포되는 웹 페이지로 우회되었을 때 플러그인을 설치하게 됩니다. 성인 사이트, 불법 소프트웨어 배포 사이트 등에 이러한 덫들이 특히나 많죠.” 이러한 페이지는 다양한 기술로 사용자들이 ‘설치할 수밖에 없도록’ 강제한다. “자바스크립트, 로그인 창, 다양한 HTML5 속임수를 동원해 사용자들이 설치하지 않고는 빠져나가지 못하도록 합니다. 심지어 윈도우 탭도 닫지 못하게 해요.”
크롬에서 이러한 상황에 빠졌을 경우 탈출 방법은 1) 브라우저에서 새 탭을 열고 2) 공격이 일어나는 탭을 닫으면 된다. 파이어폭스 사용자라면 작업관리자를 사용해서 강제로 파이어폭스를 종료시켜야 한다.
이미 설치가 끝났다면, 파이어폭스 사용자의 경우 브라우저를 안전 모드에서 실시하면 플러그인의 작동을 멈출 수 있다. “파이어폭스 안전 모드는 브라우저에 설치된 모든 플러그인을 목록으로 만들어 보여주죠. 그래서 크롬 사용자들보다 플러그인 삭제가 더 쉬워요. 크롬에는 이런 기능이 없어 삭제 절차가 더 복잡합니다.”
크롬은 비활성화 된 플러그인까지 전부 사용자에게 보여주지 않는다. 그래서 수동으로 플러그인 폴더를 파악해야만 삭제 작업을 진행할 수 있다고 안츠는 설명한다. 멀웨어바이츠의 상세한 보고서 내용은 여기(https://blog.malwarebytes.com/threat-analysis/2018/01/new-chrome-and-firefox-extensions-block-their-removal-to-hijack-browsers/)서 열람이 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
