인기 있는 소프트웨어로 위장한 가짜 웹사이트를 통해 배포되는 트로이 목마를 통해 사기성 Google Chrome 및 Microsoft Edge 확장 프로그램을 설치하는 지속적이고 광범위한 악성 코드 캠페인이 관찰되었습니다.
ReasonLabs 연구팀이 분석한 바에 따르면, “트로이 목마 맬웨어에는 검색 결과를 하이재킹하는 간단한 애드웨어 확장 프로그램부터 개인 데이터를 훔치고 다양한 명령을 실행하기 위해 로컬 확장 프로그램을 전달하는 보다 정교한 악성 스크립트까지 다양한 전달물이 포함되어 있습니다.”
“2021년부터 존재해 온 이 트로이 목마 맬웨어는 온라인 게임과 비디오에 대한 애드온이 포함된 다운로드 웹사이트를 모방한 데서 유래되었습니다.”
해당 악성코드와 확장 프로그램은 Google Chrome과 Microsoft Edge 사용자 30만 명 이상에 도달했으며, 이는 해당 활동이 광범위한 영향을 미치고 있음을 나타냅니다.
이 캠페인의 핵심은 Roblox FPS Unlocker, YouTube, VLC 미디어 플레이어, Steam, KeePass와 같은 잘 알려진 소프트웨어를 홍보하는 유사한 웹사이트를 멀버타이징을 통해 푸시하여 이러한 프로그램을 검색하는 사용자가 브라우저 확장 프로그램을 설치하는 경로로 사용되는 트로이 목마를 다운로드하도록 속이는 것입니다.
디지털 서명된 악성 설치 프로그램은 예약된 작업을 등록하며, 이 작업은 원격 서버에서 가져온 다음 단계 페이로드를 다운로드하고 실행하는 PowerShell 스크립트를 실행하도록 구성됩니다.
여기에는 Google 및 Microsoft Bing의 검색 쿼리를 하이재킹하고 공격자가 제어하는 서버를 통해 리디렉션할 수 있는 Chrome 웹 스토어 및 Microsoft Edge 추가 기능의 확장 프로그램을 강제로 설치하도록 Windows 레지스트리를 수정하는 것이 포함됩니다.
ReasonLabs는 “개발자 모드가 ‘ON’ 상태일 때에도 사용자가 확장 프로그램을 비활성화할 수 없습니다.”라고 말했습니다. “최신 버전의 스크립트는 브라우저 업데이트를 제거합니다.”
또한 명령 및 제어(C2) 서버에서 직접 다운로드되는 로컬 확장 프로그램을 실행하고 모든 웹 요청을 가로채서 서버로 보내고, 명령과 암호화된 스크립트를 수신하고, 모든 페이지에 스크립트를 삽입하여 로드하는 광범위한 기능을 제공합니다.
게다가 Ask.com, Bing, Google에서 검색어를 납치하여 자사 서버를 거쳐 다른 검색 엔진으로 전송합니다.
야생에서 이와 유사한 캠페인이 관찰된 것은 이번이 처음이 아니다. 2023년 12월, 사이버 보안 회사는 VPN 앱으로 위장한 악성 웹 확장 프로그램을 설치하지만 실제로는 “캐시백 활동 해킹”을 실행하도록 설계된 토런트를 통해 전달되는 또 다른 트로이 목마 설치 프로그램을 자세히 설명했습니다.
