728x90
반응형

내용 요약

Koi Security가 7월 초, "Operation RedDirection"이라는 대규모 브라우저 확장 프로그램 악용 캠페인을 발견했습니다. Chrome 및 Edge 브라우저에서 18개의 악성 확장 프로그램이 230만 명 이상의 사용자에게 영향을 미쳤으며, Chrome 웹스토어에서만 170만 건 이상의 다운로드를 기록했습니다. 악성 확장 프로그램은 색상 선택 도구, 날씨 위젯, VPN, 이모지 키보드 등 일반적인 기능을 제공하는 것처럼 위장하여 사용자들을 속였습니다. 초기에는 정상적인 기능을 제공하다가 시간이 지남에 따라 악성 행위를 시작하여 사용자 정보를 탈취하고 광고 사기를 진행했습니다.

핵심 포인트

  • 230만 명 이상의 사용자가 악성 브라우저 확장 프로그램에 노출됨.
  • Chrome 웹 스토어에서만 170만 건 이상 다운로드.
  • 18개의 악성 확장 프로그램이 Chrome과 Edge 브라우저를 대상으로 함.
  • 색상 선택 도구, 날씨 위젯, VPN, 이모지 키보드 등 일상적인 기능으로 위장.
  • 시간차 공격을 통해 초기에는 정상 기능을 제공하다가 나중에 악성 행위를 시작.
  • 사용자 정보 탈취 및 광고 사기 목적.
  • Operation RedDirection으로 명명된 캠페인.

기술 세부 내용

1️⃣ 악성 브라우저 확장 프로그램 (Malicious Browser Extensions)

  • 공격자들은 사용자들이 자주 사용하는 기능을 제공하는 것처럼 위장한 브라우저 확장 프로그램을 개발하여 배포했습니다.
  • 이러한 확장 프로그램은 Chrome 웹 스토어와 같은 공식 마켓플레이스뿐만 아니라 다른 경로를 통해서도 유포되었습니다.
  • 확장 프로그램은 설치 초기에는 정상적인 기능을 제공하여 사용자들의 의심을 피했습니다.
  • 일정 시간이 지난 후, C2(Command and Control) 서버로부터 명령을 받아 악성 행위를 시작했습니다.

2️⃣ 시간차 공격 (Time-Bomb Attack)

  • 악성 확장 프로그램은 즉시 악성 행위를 수행하는 대신, 일정 시간 동안 정상적인 기능을 제공합니다.
  • 이를 통해 사용자와 보안 소프트웨어의 탐지를 우회하고, 악성코드 분석을 어렵게 만듭니다.
  • 시간이 지나 활성화되면 사용자 정보 탈취, 광고 사기 등 악의적인 활동을 시작합니다.

3️⃣ C2 서버 (Command and Control Server)

  • 악성 확장 프로그램은 C2 서버와 통신하여 명령을 받고 정보를 전송합니다.
  • 공격자는 C2 서버를 통해 악성 확장 프로그램의 동작을 제어하고, 수집된 정보를 수신합니다.
  • 이러한 C2 서버는 공격의 핵심 인프라로, C2 서버를 차단하면 악성 확장 프로그램의 추가적인 활동을 막을 수 있습니다.

4️⃣ 정보 탈취 (Information Stealing)

  • 악성 확장 프로그램은 사용자의 브라우징 활동, 쿠키, 저장된 비밀번호 등 개인 정보를 탈취할 수 있습니다.
  • 탈취된 정보는 공격자에게 판매되거나, 다른 공격에 악용될 수 있습니다.

5️⃣ 광고 사기 (Ad Fraud)

  • 악성 확장 프로그램은 사용자 몰래 광고를 클릭하거나, 가짜 광고 노출을 생성하여 광고 수익을 부당하게 취득할 수 있습니다.
  • 이는 광고주에게 금전적 손실을 입히고, 광고 생태계를 훼손합니다.

6️⃣ Operation RedDirection

  • 이번 공격 캠페인은 "Operation RedDirection"으로 명명되었습니다.
  • Koi Security는 이 캠페인의 규모와 정교함에 주목하며, 추가적인 공격 가능성에 대해 경고했습니다.

7️⃣ 예방 및 대응 (Prevention and Response)

  • 출처가 불분명하거나 신뢰할 수 없는 브라우저 확장 프로그램 설치를 지양해야 합니다. ✅
  • 브라우저 확장 프로그램 권한을 신중하게 검토하고, 필요 이상의 권한을 요구하는 확장 프로그램은 설치하지 않아야 합니다.
  • 최신 버전의 브라우저와 보안 소프트웨어를 사용하고, 정기적인 업데이트를 수행해야 합니다.
  • 의심스러운 활동이 감지될 경우, 즉시 브라우저 확장 프로그램을 제거하고 보안 전문가에게 도움을 요청해야 합니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=167877

728x90
반응형
SMALL
저작자표시 비영리 변경금지 (새창열림)

'보안이슈' 카테고리의 다른 글

[보안뉴스]이상휘 의원, ‘해킹 발생시 이용자에 즉시 통보 의무화’ 법안 발의  (0) 2025.07.12
[데일리시큐]포티넷, 포티웹 치명적 SQL 인젝션 취약점 긴급 패치…공격 코드 공개로 즉각 대응 필요  (0) 2025.07.12
[데일리시큐]43만 다운로드된 mcp-remote, 치명적 원격 해킹 취약점 발견…LLM 사용자 전체 시스템 위협  (0) 2025.07.11
[KRCERT]MS 7월 보안 위협에 따른 정기 보안 업데이트 권고  (2) 2025.07.11
[보안뉴스]KISIA 초청연수 성료…국내 보안기업, 아세안 시장 진출 청신호  (1) 2025.07.11

티스토리툴바