아무도 모르게 진행되고 있던 크롬 플러그인 침해 캠페인, 로그인 크리덴셜 빼돌려
아무도 모르게 진행되고 있던 크롬 플러그인 침해 캠페인, 로그인 크리덴셜 빼돌려
크롬 플러그인을 통한 보안 침해 사고들이 소리 소문 없이 발생하는 와중에 한 사이버 보안 업체가 직접 공격에 당하면서 이 캠페인이 세상에 공개됐다. 문제의 보안 업체는 사이버헤이븐(Cyberha
www.boannews.com
16 Chrome Extensions Hacked, Exposing Over 600,000 Users to Data Theft
- 사건 개요
- 크롬 플러그인 생태계에서 악성 플러그인을 통한 대규모 침해 캠페인 발생
- 사이버헤이븐(Cyberhaven)과 35개 이상의 플러그인이 피해를 입으며 260만 명 이상의 사용자 데이터 노출 가능성 확인
- 악성 플러그인은 Facebook 광고 계정 크리덴셜, 쿠키, 접근 토큰 등을 탈취하도록 설계됨
- 공격 방식
- 피싱 이메일
- 공격자는 크롬 웹스토어 공식 이메일로 위장해 개발자에게 긴급 메시지를 발송
- "프라이버시정책확장프로그램"이라는 악성 OAuth 애플리케이션 설치를 유도
- 악성 플러그인 업로드
- 개발자 계정에서 권한을 확보한 후 기존 플러그인에 악성 코드 추가
- 크롬 웹스토어의 보안 심사를 통과해 플러그인을 게시
- 데이터 탈취 및 C2 서버 통신
- C&C 서버(cyberhavenext[.]pro)와 통신하며 사용자 데이터를 수집하고 명령 실행
- Facebook 웹사이트에서 QR 코드 및 클릭 이벤트를 탐지해 2FA 우회 시도
- 피싱 이메일
- 침해된 플러그인 목록 (일부)
- AI Assistant - ChatGPT and Gemini for Chrome
- GPT 4 Summary with OpenAI
- VPNCity
- Bookmark Favicon Changer
- Visual Effects for Google Meet
- Parrot Talks
- Primus
- Tackker - Online Keylogger Tool
- Earny - Up to 20% Cash Back
- Web Mirror
- 악성 플러그인의 주요 기능
- 크리덴셜 탈취: 소셜미디어 계정 정보와 접근 토큰 수집
- QR 코드 탐지: 2FA 우회 시도를 위해 Facebook QR 코드 탐지 및 C2 서버로 전송
- 광범위한 데이터 수집: 브라우징 히스토리, 클릭 이벤트, 사용자 식별 데이터 탈취
- 보안 권고
- 플러그인 관리 강화
- 정기적으로 설치된 플러그인을 검토하고, 사용하지 않는 플러그인은 제거
- 크롬 웹스토어 외부에서 제공된 플러그인 설치 자제
- 플러그인 업데이트
- 침해된 플러그인의 최신 업데이트를 확인하고 필요 시 제거
- 보안 모니터링
- 의심스러운 네트워크 트래픽과 플러그인 동작을 분석
- 개발자 계정 보호
- 플러그인 개발자는 강력한 비밀번호와 2단계 인증(2FA)을 활성화해 계정 보호
- 사용자 교육
- 플러그인의 위험성을 이해하고, 설치 전 보안 검증을 강조
- 플러그인 관리 강화
- 결론
- 브라우저 플러그인은 웹 보안의 약한 고리로 작용, 보안 강화 필요
- 개발자와 사용자는 플러그인 보안 및 관리의 중요성을 인식하고, 침해를 방지하기 위한 실질적 조치를 취해야 함
- 크롬 웹스토어는 보안 심사를 강화하고 플러그인 생태계의 신뢰를 회복해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 개인정보처리자가 아닌 자에 대한 처벌과 주요 판례 (0) | 2025.01.14 |
|---|---|
| 악성 NPM 패키지: 이더리움 도구로 위장한 Quasar RAT 배포 (0) | 2025.01.14 |
| 북한 해커 그룹과 OtterCookie 멀웨어를 활용한 Contagious Interview 캠페인 (0) | 2025.01.14 |
| 미국 재무부 시스템 해킹 사건: 중국 해커 배후로 지목 (0) | 2025.01.14 |
| Windows 11 BitLocker 암호화 우회 및 키 추출 (0) | 2025.01.13 |