2.3백만 사용자들이 검증된 크롬 및 엣지 확장 프로그램에 감염되었습니다

브라우저의 주요 보안 위반으로 인해 230만 명 이상의 사용자들이 악성 소프트웨어에 노출되었습니다. 이는 안전해 보이는 검증된 크롬과 엣지 확장 프로그램들을 통해 이루어졌습니다.

Koi Security의 연구에 따르면, ‘RedDirection’이라는 이름의 캠페인에서 18개의 확장 프로그램이 사용자의 브라우저를 비밀리에 접수하고, 사용자의 활동을 추적하며, 신뢰할 수 있는 인터페이스를 통해 추가적인 공격을 가능하게 했습니다.

보안 위반을 일으킨 주요 확장 프로그램은 “Color Picker, Eyedropper — Geco colorpick”였습니다. 이 확장 프로그램은 완벽한 색상 선택 기능을 제공함으로써 약속된 기능을 제공했습니다. 확장 프로그램은 색상 선택 도구로 작동했지만, 사용자가 방문한 모든 웹사이트를 비밀리에 트래킹하고, URL 데이터를 명령 및 제어 서버로 전송하며, 사용자를 가짜 웹사이트로 리디렉션했습니다.

“이것은 주말에 함께 만들어진 분명한 사기 확장 프로그램이 아니다”라고 연구자들은 썼습니다.

“이것은 신중하게 만들어진 트로이목마로서, 기능적인 색상 선택기를 제공하는 것과 동시에 브라우저를 해킹하고, 방문하는 모든 웹사이트를 추적하며, 지속적인 명령 및 제어 백도어를 유지합니다. 이것이 아니라 연도 동안 합법적으로 유지되다가 버전 업데이트를 통해 악의적으로 변한 것이라는 사실도 주목할 만합니다,”라고 연구자들이 지적했습니다.

실제로, 연구자들은 이러한 확장 프로그램들이 몇 년 동안은 깨끗하게 유지되다가 침묵하는 버전 업데이트를 통해 악의적인 코드가 추가되었음을 설명합니다. 이는 Google과 Microsoft의 신뢰 시스템, 검증 배지 및 특징적인 위치 등을 이용한 수법이었습니다.

“이것은 단순히 또 다른 악성 소프트웨어 발견이 아닙니다,”라고 연구자들이 말했습니다. “현재의 마켓플레이스 보안 모델이 근본적으로 부서져 있다는 증거입니다,”라고 연구팀은 덧붙였습니다.

RedDirection 캠페인은 이모티콘 키보드, 비디오 속도 제어기, VPN 프록시, 다크 테마와 같이 기능하는 인기 확장 기능들을 포함했습니다. 이들은 표준 도구처럼 보이고 작동했습니다. 이 확장 기능들은 각각의 악성 소프트웨어 구조와 명령 서버가 동일하게 작동하여 하나의 네트워크로 작동했고, 로그인 정보, 은행 정보를 도용하고 추가적인 악성 소프트웨어를 설치하는 데 사용되었습니다.

Koi Security는 사용자들에게 브라우저 데이터 클리닝, 악성 소프트웨어 스캔, 계정 모니터링을 수행하는 동안 신뢰할 수 없는 확장 프로그램을 제거하도록 조언합니다. 이번 발견으로 인해 크롬과 엣지의 확장 프로그램 검증 과정에 대한 의문이 제기되었고, 사용자들이 설치된 확장 프로그램을 신뢰할 수 있는 능력에 대해서도 의심이 생겼습니다.

“이것은 공급망 재앙입니다,”라고 연구자들은 경고하였습니다.