Chrome 웹 스토어에는 완벽한 방어 수단이 없으며 맬웨어 개발자는 악의적인 목적으로 이러한 약점을 악용합니다. 그러나 악성 확장 프로그램의 위협은 전 세계 기업과 조직에 대한 주요 위협으로 성장하고 있습니다.
하나의 잘못된 Chrome 확장 프로그램이 어떻게 비즈니스에 큰 문제를 일으킬 수 있는지 살펴보겠습니다.
Chrome 웹 스토어는 바이러스로부터 안전하지 않습니까?
Chrome 웹 스토어는 Chrome 확장 프로그램을 설치할 수 있는 안전한 장소 중 하나이지만 절대 침투할 수 없습니다.
Google은 멀웨어가 사용자를 감염시키는 것을 막기 위해 최선을 다합니다. 예를 들어 웹 스토어나 엄격한 조건에서만 확장을 설치할 수 있습니다. 그런 다음 의심스러운 활동이 있는지 Chrome 웹 스토어를 모니터링합니다.
그러나 업로드되는 모든 잘못된 확장을 포착할 수 없으며 일부는 몰래 통과합니다. 따라서 Google 웹 스토어의 어떤 것도 100% 안전한 것은 아니지만 인터넷에서 임의의 파일을 다운로드하는 것보다 훨씬 안전합니다.
단일 Chrome 확장 프로그램이 회사를 위험에 빠뜨리는 방법
현재 대부분의 Chrome 확장 프로그램 멀웨어는 한 대의 PC만 대상으로 합니다. 키로거를 설치하거나 브라우저 사용을 추적할 수 있지만 효과는 모두 사용 중인 PC에서 현지화됩니다.
그러나 Chrome 확장 프로그램 멀웨어의 새로운 추세는 이를 변경하려고 합니다. 이 새로운 변종은 단순히 페이로드를 전달하는 대신 피해자의 컴퓨터에 발판을 마련할 것입니다.
이러한 발판에서 해커는 조직의 네트워크를 더욱 공격할 수 있습니다. 네트워크 방어를 성공적으로 우회할 수 있다면 해커는 네트워크의 다른 PC와 파일 시스템을 염탐할 수 있습니다.
따라서 이것은 사이버 보안 업계에서 아직 보지 못한 악성 Chrome 확장 프로그램의 진화입니다. 이제 더 큰 네트워크의 한 사람이 잘못된 확장 프로그램을 다운로드하는 것만으로도 다른 모든 사람을 위험에 빠뜨릴 수 있습니다.
실제 세계의 Chrome 확장 프로그램 악성 코드 예
이것이 무서운 것처럼 보일 수 있지만 현실 세계에서 일어날 수 없다면 큰 의미가 없습니다. 그렇다면 이 공격 벡터가 실현 가능하다는 어떤 증거가 있습니까?
이러한 발전의 증거는 인터넷 주변의 보안 위협을 감시하는 ThreatPost에서 나옵니다. 보고서에서 그들은 106개의 악성 확장 프로그램을 찾은 방법과 Google에 제거하도록 지시한 방법에 대해 설명합니다.
악성 Chrome 확장 프로그램 제거는 새로운 것이 아닙니다. 우려스러운 부분은 악성 코드가 작동하는 방식이었습니다. 피해자의 컴퓨터에서 데이터를 훔쳤을 뿐만 아니라 해커가 피해자의 네트워크에 들어갈 수 있는 백도어를 생성했습니다.
맬웨어는 어떻게 작동했나요?
확장 멀웨어의 가장 큰 걸림돌은 구글의 보안 점검이다. Google이 이를 감지하면 새로운 맬웨어를 알릴 수 있습니다. 그러나 통과할 경우 멀웨어가 광범위하게 유포될 가능성이 높습니다. 사용자는 Chrome 웹 스토어 앱을 신뢰하는 경향이 있으므로 멀웨어 개발자는 성공하면 높은 다운로드율을 보장할 수 있습니다.
이 특정 맬웨어 변종은 피해자를 웹사이트로 리디렉션하여 감염된 파일을 다운로드하도록 합니다. 그러나 웹 사이트에 직접 연결되면 Google에서 문제 없이 스니핑합니다.
멀웨어 개발자는 "모핑 웹사이트"를 만들어 이를 회피했습니다. 컴퓨터가 웹사이트에 연결되면 웹사이트는 해당 웹사이트가 어디에서 왔는지 확인합니다.
회사나 소비자 ISP가 아닌 경우 Google과 같이 사람이 아닌 시스템이 안전한지 확인하기 위해 방문했을 가능성이 큽니다. 그 대가로 웹사이트는 순진한 방문 페이지를 표시하여 바이러스 검사자가 웹사이트가 안전하다고 생각하도록 속일 것입니다.
그러나 방문자가 회사 또는 소비자 ISP에서 온 경우 방문자는 사람입니다. 웹사이트는 악성 링크를 표시하는 "실제" 웹사이트로 사용자를 리디렉션하여 응답합니다.
따라서 개발자가 맬웨어를 Chrome 웹 스토어에 업로드하면 바이러스 검사기가 가짜 방문 페이지를 찾아내고 앱을 안전한 것으로 표시합니다. 그런 다음 사용자가 다운로드했을 때 멀웨어 페이로드가 있는 실제 웹사이트를 보았습니다.
멀웨어는 어디까지 퍼졌습니까?
불행히도 이 방법은 탐지를 피하는 데 매우 효과적이어서 106개의 Chrome 확장 프로그램이 바이러스 검사기를 통과했습니다. 이 앱은 전체적으로 3,200만 다운로드를 기록했습니다. 이러한 페이로드가 얼마나 널리 퍼져 있는지에 대한 우려스러운 표시입니다.
악성 웹사이트를 탐지하거나 파일 형식을 변환하는 앱으로 가장한 멀웨어. 이들은 모두 사람들이 두 번 생각할 필요 없이 다운로드하는 인기 있는 확장 프로그램으로, 페이로드에 대한 완벽한 커버가 되었습니다.
따라서 이 악성코드는 결국 100개의 서로 다른 기업과 조직에 발판을 마련하게 되었습니다. 여기에는 금융, 의료, 심지어 정부 기관이 포함되어 있어 해커가 다양한 산업 분야에서 발판을 마련할 수 있었습니다.
각 앱의 코드베이스가 매우 유사했기 때문에 연구원들은 한 그룹이 모든 확장을 업로드했다고 믿었습니다. 그들은 이 멀웨어가 전 세계 기업에 발판을 마련하려는 글로벌 감시 시도의 일부라고 믿었습니다.
맬웨어를 다운로드하셨습니까?
최근에 감염된 확장 프로그램을 다운로드한 것으로 의심되는 경우 확인할 수 있는 방법이 있습니다. 먼저 chrome://extensions/를 입력하여 확장 프로그램 페이지를 엽니다. 주소 표시줄에. 악성으로 의심되는 확장 프로그램을 찾아 그 아래에 나열된 ID를 기록해 두십시오.
그런 다음 ID를 악성 Chrome 확장 프로그램 목록과 비교합니다. 확장 ID는 문자가 엄청나게 복잡하기 때문에 CTRL+F를 누르는 것이 가장 좋습니다. 의심되는 ID를 상자에 붙여넣습니다. 그러면 목록을 검색하고 일치하는 항목을 찾으면 알려줍니다.
이러한 공격으로부터 자신을 보호하는 방법
이 공격은 확장 멀웨어의 미래에 대한 조기 경고 신호입니다. Google 문서도구에서 Zoom에 이르는 사무용 도구를 사용하면 브라우저에서 작업할 수 있으므로 작업에 도움이 되는 확장 프로그램을 찾을 가능성이 높아집니다. 따라서 맬웨어 개발자는 확장 영역으로 이동하고 이러한 영역에서 도움이 된다고 주장하는 바이러스를 생성하고 있습니다.
일반적으로 다운로드 수를 보면 죽은 대가가 될 것입니다. 다운로드가 거의 없고 의심스러운 별 5개 리뷰가 있는 앱은 악성 확장 프로그램에 대한 정보를 제공합니다. 그러나 위에서 보았듯이 다운로드 수는 더 이상 신뢰할 수 없습니다. 결국 3,200만 명이 이 멀웨어를 다운로드했습니다!
그러나 할 수 있는 일은 사람들이 신뢰하거나 오랫동안 사용해온 앱만 설치하는 것입니다. 확장 프로그램이 수년 동안 사용되었고 많은 권장 사항과 긍정적인 리뷰를 받으면 악의적인 의도가 없다는 것을 확신할 수 있습니다.
예를 들어, 브라우징 경험을 향상시키는 Chrome 확장 프로그램에 대한 모든 권장 사항은 실제 거래이므로 걱정할 맬웨어가 없습니다.
Chrome 확장 프로그램을 깨끗하게 유지
Chrome 웹 스토어의 모든 확장 프로그램이 안전하다고 생각하기 쉽지만 사실은 그렇지 않습니다. 확장이 필요한 경우 이전 즐겨찾기에 의존하십시오. 그렇게 하면 내부에 맬웨어가 숨겨져 있지 않은지 확인할 수 있습니다.
모든 확장 프로그램이 제대로 작동하도록 하려면 이 그늘진 Chrome 확장 프로그램을 제거해야 합니다.