Two Widely Used Ad Blocker Extensions for Chrome Caught in Ad Fraud Scheme
구글 크롬 웹 스토어 내 인기 있는 애드블록 확장 프로그램인 Adblock, uBlock으로 위장한 확장 프로그램이 사기성 수익을 발생시키는 것으로 나타났습니다.
이 프로그램들은 수백만 사용자의 웹 브라우저의 ‘쿠키 스터핑(Cookie Stuffing)'을 통해 추천 프로그램으로부터 사기성 수익을 창출했습니다.
웹 확장 프로그램은 웹 브라우저에 많은 유용한 기능을 추가해 편리한 브라우징을 가능케하고 생산력도 향상시키지만, 사용자의 프라이버시 및 보안에 큰 위협이 될 수 있습니다.
브라우저 애플리케이션과 인터넷 사이에 위치한 확장 프로그램은 브라우저 보안 모델의 가장 약한 고리입니다.
브라우저 애플리케이션은 사용자가 방문하는 웹사이트를 찾아 모든 요청을 가로채고, 변조하고, 차단할 수 있습니다.
최근 정식 크롬 및 파이어폭스용 확장 프로그램이 해킹 당하거나 거대한 유저풀을 얻은 후 악성 프로그램으로 변질되는 사례가 있었습니다.
보안 연구원들은 아래 크롬 확장 프로그램 2개에서 사용자를 속이기 위해 실제 애드블록 확장 프로그램명을 사용하는 것을 발견했습니다.
AdBlock (AdBlock, Inc) —800,000 이상 사용자
uBlock (Charlie Lee) — 850,000 이상 사용자
이러한 확장 프로그램은 사용자가 방문하는 웹페이지의 광고를 삭제함으로써 다른 광고 차단기처럼 충분히 작동하고 있었습니다.
하지만 그 외에도 개발자들에게 수익을 창출하기 위한 "쿠키 스터핑"을 수행하는 것을 적발했습니다.
쿠키 스터핑(Cookie Stuffing) 광고 사기는 무엇인가요?
쿠키 드롭핑(Cookie Dropping)라고도 불리는 쿠키 스터핑(Cookie Stuffing)은 웹사이트나 브라우저 확장 프로그램이 사용자의 브라우저에 제휴 쿠키를 무단으로 드롭하는 사기 수법입니다.
제휴사의 쿠키는 사용자의 브라우징 활동을 추적하고, 온라인 결제가 발생하면 쿠키 스터퍼는 소비자의 구매 유도에 도움을 주지 않고 판매에 대한 커미션을 요구합니다.
발견된 광고 차단 확장 프로그램은 설치된 후 55시간이 지난 후 사용자가 방문한 사이트로부터 제휴 링크를 받기 위해 방문한 각 새로운 도메인 사용자에 대한 요청을 URL로 보냅니다.
160만 명의 활성 사용자를 확보한 이 확장 프로그램은 팀뷰어, 마이크로소프트, 링크드인, 알리익스프레스, booking.com 등 탑 10,000개 웹사이트 중 300곳에 쿠키 스터핑을 수행하고 있었습니다.
연구원들은 이를 통해 개발자가 한 달에 수 백만 달러를 벌어들였을 것이라 추측했습니다.
연구원은 사기 수법이 밝혀졌기 때문에 제휴 프로그램 운영자는 누가 이 수법의 배후에 있는지 추적할 수 있게 되었습니다.
이 확장 프로그램은 자체 보호 메커니즘을 포함하고 있었는데, 예를 들어 개발자 콘솔이 오픈되어 있는 것을 발견할 경우 활동을 즉시 중지합니다.
구글, 크롬 웹스토어에서 해당 광고 차단 확장 프로그램을 모두 삭제해
구글은 이 악성 확장 프로그램에 대한 여러 제보를 받았지만, 구글 정책으로 인해 해당 확장 프로그램을 제거하지 못했습니다.
하지만 보안 연구원들이 해당 악성 확장 프로그램에 대해 제보했고, 구글은 구글 크롬 스토어에서 해당 악성 확장 프로그램을 모두 제거했습니다.
브라우저 확장 프로그램은 방문한 모든 웹 페이지에 접근할 수 있는 권한을 가지기 때문에 온라인 계정 패스워드를 탈취하는 등의 작업을 수행할 수 있습니다.
따라서 최소한의 확장 프로그램을 설치하고 신뢰할 수 있는 회사의 확장 프로그램을 설치하는 것이 좋습니다.
출처:
https://thehackernews.com/2019/09/browser-chrome-extension-adblock.html
마이크로소프트, 제로데이 취약점(CVE-2019-1367) 긴급 업데이트 발행해 (0) | 2019.09.25 |
---|---|
ATM을 노리는 새로운 북한 악성코드, 인도에서 발견돼 (0) | 2019.09.24 |
Skidmap 리눅스 마이너, 백신 탐지 피하기 위해 커널 모드 루트킷 사용해 (0) | 2019.09.19 |
TFlower 랜섬웨어 – 기업을 노리는 최신 공격 (0) | 2019.09.18 |
Astaroth 스파이 트로이목마, 추적 피하기 위해 페이스북과 유튜브 사용해 (0) | 2019.09.17 |
댓글 영역