구글, 가상 화폐 지갑을 하이잭하고 있었던 크롬 확장 프로그램 49개 제거해

Google removed 49 Chrome Extensions that were hijacking cryptocurrency wallets

구글이 크롬 브라우저 확장 프로그램 49개를 공식 웹 스토어에서 추가로 제거했습니다. 이들은 가상 화폐 지갑을 하이잭하고 민감 정보를 훔치는 코드를 포함하고 있었던 것으로 나타났습니다.

이 크롬 브라우저 확장 프로그램은 MyCrypto와 PhishFort 연구원들이 발견했으며, 러시아 해커가 참여한 것으로 추측됩니다.

일부 확장 프로그램은 사용자들을 속이기 위한 가짜 5성 리뷰가 등록되어 있었습니다.

“브랜드와 가상 화폐 사용자들을 노리는 다양한 확장 프로그램이 발견되었습니다. 이 확장 프로그램의 기능은 모두 같지만, 타깃 사용자에 따라 브랜딩이 달라집니다. 악성 확장 프로그램은 아래 브랜드를 노린 것으로 발견되었습니다.”

• Ledger <https://www.ledger[.]com/>

• Trezor <https://trezor[.]io/>

• Jaxx <https://jaxx[.]io/>

• Electrum <https://electrum[.]org/>

• MyEtherWallet <https://myetherwallet[.]com>

• MetaMask <https://metamask[.]io>

• Exodus <https://www.exodus[.]io/>

• KeepKey <https://shapeshift[.]io/keepkey/>

크롬 확장 프로그램은 니모닉(mnemonic) 구문, 개인 키, 키 저장소 파일을 훔쳐 HTTP POST 요청을 통해 훔친 데이터를 공격자에게 전송합니다.

연구원들은 아직까지 해킹된 시스템과 통신 중인 C&C 서버 14곳을 발견했습니다. 이들은 동일한 공격자가 해당 C2 서버를 모두 운영하고 있다는 것을 발견했습니다.

“일부 C2 도메인은 비교적 오래되었지만, 80%는 2020년 3월과 4월 등록되었습니다. 

가장 오래된 도메인 (ledger.productions)이 다른 C2 서버들과의 “연결”이 가장 많았습니다. 우리는 동일한 백엔드 키트(또는 동일 공격자)가 이 확장 프로그램 대부분을 운영하는 것을 알 수 있는 지표 또한 발견했습니다.”

이 C2에 사용된 서버는 'trxsqdmn'입니다.

관리자 이메일은 “b — 0@r — r.ru” 형식을 따릅니다. 이는 공격자가 러시아 관련자라는 것을 잠재적으로 의미합니다.

가장 첫 번째 로그는 29-Mar-2020 10:43:14 America/New_York 이었습니다.

C2 호스트는 피싱된 비밀을 수집하기 위한 파일을 제외한 파일을 수집합니다.

전문가들은 구글에 이 악성 프로그램을 제보했으며, 구글은 24시간 이내에 이를 삭제했다고 밝혔습니다. 해당 확장 프로그램들은 2020년 2월 초 웹 스토어에 등록되었습니다.

연구원들은 공격자가 그들이 접근한 모든 지갑을 훔치지는 않았으나, 대상을 좁히고 가능한 많은 자금을 훔치기 위해 가치가 높은 계정만을 노렸다는 것을 발견했습니다.

데이터를 훔치는 악성 크롬 확장 프로그램이 공식 웹 스토어에서 발견된 것은 이번이 처음은 아닙니다. 

지난 1월, MyCrypto는 Shitcoin Wallet이라는 구글 확장 프로그램이 패스워드와 가상화폐 지갑 개인 키를 훔치고 있는 것을 발견했습니다.

지난 2월 구글은 공식 웹 스토어에서 악성 크롬 확장 프로그램 500개를 제거했습니다. 이 악성 프로그램은 광고를 주입하고 민감 정보를 훔치고 있었습니다.

출처:

https://securityaffairs.co/wordpress/101620/hacking/google-remove-chrome-extensions.html

https://medium.com/mycrypto/discovering-fake-browser-extensions-that-target-users-of-ledger-trezor-mew-metamask-and-more-e281a2b80ff9