상세 컨텐츠

본문 제목

페이스북을 통해 배포 되는 크롬 확장 프로그램 7개, 패스워드를 훔치는 것으로 밝혀져

국내외 보안동향

by 알약(Alyac) 2018. 5. 15. 10:10

본문

7 Chrome Extensions Spreading Through Facebook Caught Stealing Passwords


보안 연구원들이 최소 올 3월부터 활동을 시작했으며, 이미 전 세계 10만명 이상을 감염 시킨 새로운 악성코드 캠페인에 대해 경고했습니다.


Nigelthorn이라 명명 된 이 악성코드는 페이스북의 링크를 통해 빠르게 배포 되고 있으며, 피해자들의 시스템에 SNS 크리덴셜을 훔치고, 가상화폐 채굴기를 설치하고, 클릭 사기를 유도하는 악성 브라우저 확장 프로그램을 설치합니다.


이 악성코드는 최소 7개의 크롬 브라우저 확장 프로그램에 포함되었으며, 모두 크롬의 공식 웹스토어에 등록 되었습니다.


<출처: https://blog.radware.com/security/2018/05/nigelthorn-malware-abuses-chrome-extensions/>


연구원들에 의하면, 이 악성코드의 운영자들은 합법적인 구글 크롬 확장프로그램의 복사본에 난독화 된 짧은 악성 스크립트를 주입해 구글의 확장 프로그램 검사를 우회 했습니다.



Nigelthorn, 페이스북의 링크를 통해 확산 돼


Nigelthorn은 페이스북 상에 공개 된 소셜 엔지니어링 기법이 사용 된 링크를 통해 배포 됩니다. 이를 클릭할 경우, 피해자는 영상을 재생하려면 악성 크롬 확장 프로그램을 다운로드할 것을 요구하는 가짜 유튜브 페이지로 이동 됩니다.


일단 설치 되면, 이 확장 프로그램은 피해자의 컴퓨터를 봇넷의 일부분으로 추가시키는 악성 JavaScript 코드를 실행합니다.


작년 등장한 Digimine이라는 유사한 악성코드도 페이스북 메신저를 통해 소셜 엔지니어링 기법을 사용한 링크를 보내 악성 확장 프로그램을 설치해 공격자들이 피해자의 페이스북 프로필에 접근하고 동일한 악성코드를 메신저를 통해 피해자의 친구들에게도 배포할 수 있었습니다.



Nigelthorn, 페이스북/인스타그램 계정의 패스워드 훔쳐


새로운 악성코드는 주로 사용자의 페이스북 및 인스타그램 계정의 크리덴셜을 훔치고, 그들의 페이스북 계정의 세부 정보를 집중적으로 훔칩니다.


그리고 훔친 정보를 이용해 감염 된 사용자의 친구에게 동일한 악성 확장 프로그램을 설치하기 위한 링크를 보냅니다. 친구들이 이 링크를 클릭하면, 전체 감염 과정이 또 한번 시작 됩니다.


또한 Nigelthorn은 공개적으로 사용이 가능한 브라우저 기반 가상 화폐 마이닝 툴을 플러그인으로써 다운로드해 감염 된 시스템이 모네로, 바이트코인, 일렉트로니움 등의 가상 화폐를 다운로드하도록 합니다.


공격자는 단 6일만에 가상화폐(주로 모네로)로만 약 $1,000을 벌어들였습니다.


Nigelthorn은 사용자가 이 악성 확장 프로그램을 제거하는 것을 방해합니다. 삭제를 방지하기 위해, 이는 사용자가 악성 확장 프로그램 탭을 오픈할 때 마다 자동으로 창을 닫습니다. 


또한 이 악성코드는 페이스북과 구글에서 제공하는 다양한 정리 툴을 차단해 사용자들이 포스트를 편집, 삭제하거나 코멘트를 작성하지 못하도록 합니다.



악성 크롬 확장 프로그램의 목록


합법적인 확장 프로그램으로 위장하고 있는 악성 확장 프로그램 7개는 아래와 같습니다:


Nigelify

PwnerLike

Alt-j

Fix-case

Divinity 2 Original Sin: Wiki Skill Popup

Keeprivate

iHabno


구글은 위의 확장 프로그램을 삭제했지만, 만약 위 프로그램들을 설치했다면 즉시 이를 언인스톨하고 페이스북, 인스타그램 및 동일한 패스워드를 사용하는 모든 계정들의 비밀번호를 변경하는 것이 좋습니다.


페이스북 스팸 캠페인은 꽤 흔하기 발생하므로, 사용자들은 SNS 플랫폼에서 제공 되는 링크와 파일을 클릭할 때 각별한 주의를 기울일 것을 권장합니다.





출처 :

https://thehackernews.com/2018/05/chrome-facebook-malware.html

https://blog.radware.com/security/2018/05/nigelthorn-malware-abuses-chrome-extensions/



관련글 더보기

댓글 영역