본문내용 바로가기 메인메뉴 바로가기 하단내용 바로가기

최신동향

최신동향 상세보기
악성 크롬 확장프로그램을 이용한 세션 재생 공격 주의2018.02.21
개요
 
  1. Trend Micro, 멀버타이징 및 사회공학을 이용한 봇넷(DroidClub) 공격 주의 당부
     

  

주요내용

 

  • 감염 후 사용자가 방문한 모든 웹사이트(원본 웹사이트가 아닌)에 악성 스크립트 삽입 가능
  • 세션 재생 스크립트를 삽입하여 이름, 신용카드 번호, CVV번호, 전화번호 등의 개인정보 유출 가능
  • 해당 라이브러리는 웹사이트 소유자가 방문자를 평가하는 합법적인 웹 분석 라이브러리
  • 해당 악성 프로그램을 신고 및 삭제하려는 경우, 가짜 페이지로 리다이렉트 하여 관련 URL로의 접근을 방해
  • 이전 버전에서는 모네로를 채굴하는 Coinhive 스크립트가 삽입되었으나, 최신 버전에는 미포함
  • 구글은 크롬 웹스토어 內 89개의 DroidClub 관련 프로그램을 발견하여 삭제
    ※ Cloudflare를 통해 C&C 서버 조치 완료
<그림1. DroidClub 감염 흐름>
DroidClub 감염 흐름
  1. 감염 흐름) 악성 확장 프로그램을 설치하도록 유도하여 광고수익, 개인정보 유출, 마이닝 등 수행
    - 악성 광고를 통해 크롬 확장 프로그램 다운로드를 위한 가짜 에러 메시지 출력
    - 악성 프로그램이 설치되면 C&C로부터 설정 파일을 다운로드
    - 감염 브라우저는 주기적으로 공격자가 지정한 광고를 팝업하며, 공격자에게 조회수 및 수익 제공
    - 사용자가 방문한 웹 사이트의 코드를 수정하여 악성광고 및 세션 재생 라이브러리 삽입
     

시사점

 

  • 불필요한 확장 프로그램의 경우 설치 시 주의를 요하며, 악성 광고 차단 서비스를 통해 멀버타이징 예방 필요
 
 

[출처]
1. Trend Micro, “Malicious Chrome Extensions Found in Chrome Web Store, Form Droidclub Botnet”, 2018.2.1.
2. Bleeping Computer, "First Malicious Chrome Extensions Detected Using Session Replay Scripts“, 2018.2.2


작성 : 침해대응단 탐지1팀
키워드 DroidClub , 봇넷