사용자를 스파잉하는 새로운 크롬 브라우저 확장 프로그램 100개 이상 발견

Over 100 New Chrome Browser Extensions Caught Spying On Users

구글이 최근 크롬 웹 스토어에서 석유와 가스, 금융, 의료부문을 노리는 “대규모 글로벌 감시 캠페인”의 일부로 불법적으로 사용자 민감 데이터를 수집한 확장 프로그램 106개 이상을 제거했습니다.

지난주 이를 발견한 Awake Security는 악성 브라우저 애드온이 모두 인터넷 등록 업체인 GalComm과 연결되어 있다고 밝혔습니다.

하지만 이 스파이웨어의 운영자가 누구인지는 명확히 밝혀지지 않았습니다.

이 캠페인과 구글 확장 프로그램은 피해자 기기의 스크린샷 촬영, 악성코드 로드, 클립보드 읽기, 토큰 및 사용자 입력 수집과 같은 작업을 수행했습니다.

이 문제의 확장 프로그램은 파일 포맷 변환 프로그램 및 안전한 브라우징 유틸리티로 위장했으며 가짜 리뷰 수천 개를 등록해 사용자를 속인 것으로 드러났습니다.

게다가 공격자들은 안티 바이러스 솔루션이 해당 도메인을 악성으로 플래깅하는 것을 방지하기 위한 회피 기술을 사용하여 이 감시 캠페인이 탐지되지 않도록 했습니다.

이 확장 프로그램들은 지난 5월 연구원들이 발견해 구글에 신고하기 전까지 3개월 동안 3,300만 회 가까이 다운로드되었습니다.

신고를 받은 구글은 이 악성 브라우저 확장 프로그램을 비활성화했습니다.

원격 측정 데이터에 따르면 이 확장 프로그램의 일부는 금융 서비스, 석유 및 가스, 미디어 및 엔터테인먼트, 의료 및 제약, 소매업, 첨단 기술, 고등 교육 기관, 정부 조직의 네트워크에서 활성화된 것으로 나타났습니다. 

하지만 이들이 수집한 민감 데이터를 실제로 사용했다는 증거는 찾을 수 없었습니다.

Galcomm의 오너인 Moshe Fogel은 로이터에 “Galcomm은 어떠한 악성 행위에 관여하지도, 연루되지도 않았다”라고 밝혔습니다.

크롬 웹 스토어에서 지속적으로 악성 확장 프로그램이 발견되어 문제가 되고 있습니다. 공격자는 악성광고 및 데이터 스틸링 캠페인에 이를 악용하는 경우가 많았습니다.

2월 초, 구글은 애드웨어를 제공하고 사용자의 브라우징 활동을 공격자의 서버로 전송하는 악성 확장 프로그램 500개를 제거했습니다. 

이후 4월, 키 저장소 정보를 훔치기 위해 가상 화폐 지갑으로 위장한 또 다른 악성 프로그램 49개를 제거했습니다.

사용자는 크롬 브라우저에서 "chrome://extensions"에 방문해 잘 사용하지 않는 확장 프로그램을 제거하거나 브라우저 활동에 관여하지 않는 다른 소프트웨어로 변경을 고려해보는 것이 좋습니다.

출처:

https://thehackernews.com/2020/06/chrome-browser-extensions-spying.html