상세 컨텐츠

본문 제목

새로운 ChromeLoader 악성코드 급증해, 전 세계 브라우저 노려

국내외 보안동향

by 알약4 2022. 5. 26. 14:00

본문

New ChromeLoader malware surge threatens browsers worldwide

 

ChromeLoader 악성코드의 탐지가 급증해 해당 브라우저 하이재킹 공격의 범위가 점점 넓어지고 있는 것으로 나타났습니다.

 

ChromeLoader는 피해자의 웹 브라우저 설정을 수정해 원치 않는 소프트웨어, 가짜 경품 및 설문 조사, 성인 게임 및 데이트 사이트에 대한 광고를 검색 결과에 표시하는 브라우저 하이재커(browser hijacker)입니다.

 

악성코드의 운영자는 사용자 트래픽을 광고 사이트로 이동시켜 마케팅 제휴 시스템을 통해 수익을 얻습니다.

 

유사한 하이재커는 많이 있지만, ChromeLoader PowerShell을 공격적으로 사용하며 지속성, 크기, 감염 경로 면에서 두드러집니다.

 

PowerShell 악용해

 

2월부터 ChromeLoader의 활동을 추적해온 Red Canary 연구원에 따르면, 이 하이재커의 운영자는 악성 ISO 아카이브 파일을 사용하여 피해자를 감염시킵니다.

 

ISO는 게임이나 상용 소프트웨어의 크랙 실행 파일을 가장하기 때문에 피해자는 이를 토렌트 또는 악성 사이트에서 다운로드할 가능성이 높습니다.

 

또한 연구원들은 크랙된 안드로이드 게임을 홍보하고 악성코드 호스팅 사이트로 연결되는 QR 코드를 제공하는 트윗을 발견했습니다.

 

Windows 10 이상에서 사용자가 ISO 파일을 두 번 클릭할 경우 ISO 파일이 가상 CD-ROM 드라이브로 마운트됩니다. ISO 파일에는 "CS_Installer.exe"와 같은 이름으로 게임 크랙 또는 키젠으로 위장한 실행 파일이 포함되어 있습니다.

 

 

<이미지 출처 : https://redcanary.com/blog/chromeloader/>

<ISO 파일 내용>

 

 

ChromeLoader는 원격 리소스에서 아카이브를 가져와 구글 크롬 확장 프로그램으로 로드하는 PowerShell 명령을 실행 및 디코딩합니다.

 

이 작업이 완료되면, PowerShell은 예약된 작업을 제거해 브라우저를 가로채고 검색 엔진 결과를 조작하는 확장 프로그램에 크롬을 감염시킵니다.

 

 

<이미지 출처 : https://redcanary.com/blog/chromeloader/>

<윈도우의 크롬에 사용되는 PowerShell>

 

 

macOS도 노려

 

ChromeLoader의 운영자는 macOS 시스템도 노려 크롬과 애플의 사파리 웹 브라우저를 모두 조작하려 시도합니다.

 

macOS의 감염 체인은 유사하지만, 공격자는 ISO 대신 해당 OS에서 더 흔한 형식인 DMG(Apple Disk Image) 파일을 사용합니다.

 

또한, macOS 변종은 설치 프로그램 실행 파일 대신 ChromeLoader 확장을 "private/var/tmp" 디렉토리에 다운로드하고 압축을 푸는 인스톨러 bash 스크립트를 사용합니다.

 

 

<이미지 출처 : https://redcanary.com/blog/chromeloader/>

<macOS에서 사용하는 Bash 스크립트>

 

 

Red Canary는 보고서를 통해 아래와 같이 설명했습니다.

 

"ChromeLoader macOS 변종은 지속성을 유지하기 위해 “/Library/LaunchAgents” 디렉터리에 설정(plist) 파일을 추가합니다."

 

"이런 방식으로 사용자가 그래픽 세션에 로그인할 때마다 ChromeLoader Bash 스크립트가 계속해서 실행될 수 있습니다."

 

웹 브라우저에서 실행되는 확장 프로그램을 확인하고 이를 관리하는 방법은 가이드 또는 파리 가이드에서 확인하실 수 있습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-chromeloader-malware-surge-threatens-browsers-worldwide/

https://redcanary.com/blog/chromeloader/

관련글 더보기

댓글 영역