• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

유명 소셜 미디어용 서드파티 플러그인? 알고 보니 멀웨어 2020.12.18

300만번 이상 다운로드 된 서드파티 브라우저 플러그인…악성 기능 포함해
사용자가 개발자나 분석가로 보이면 스스로 기능 중단…탐지 피하고 돈 모으려 해

[보안뉴스 문가용 기자] 유명 소셜 미디어용 서드파티 플러그인으로 위장한 악성 프로그램이 스무 개 이상 발견됐다. 광고를 노출시키거나 사용자들을 악성 사이트로 우회시키는 등의 기능을 가진 이 플러그인은 전부 300만 회 이상 다운로드 된 것으로 집계됐다. 보안 업체 어베스트(Avast)가 이 내용에 대해 상세히 공개했다.

[이미지 = utoimage]


어베스트가 현재까지 발견한 이런 류의 가짜 혹은 악성 플러그인들은 총 28개다. 공격자들은 페이스북, 인스타그램, 사운드클라우드, 비미오 등 유명 소셜 네트워크 플랫폼에서 영상을 다운로드 하게 해 준다거나 다른 사용자들에게 메시지를 쉽게 보낼 수 있다는 등의 내용으로 피해자들을 속여 왔다. 악성 플러그인은 자바스크립트로 작성되었고, 대부분 사용자의 정보를 유출시키는 기능을 가지고 있다고 한다.

현재까지 이 플러그인들을 통해 기업의 네트워크로 침투하려는 시도가 발견되지는 않았다. 어베스트의 멀웨어 분석가인 잰 루빈(Jan Rubin)은 “그렇다고 해서 피해자들이 소속된 조직이 완전히 안전하다고 볼 수는 없다”고 경고한다. 왜냐하면 “피해자 시스템으로부터 크리덴셜과 같은 정보를 수집해, 별도의 공격을 통해 기업에 침투했을 수 있기 때문”이다. 때문에 어베스트는 상세한 기술 내용이 담긴 게시글을 준비 중에 있다고 한다.

악성 플러그인은 공격자들이 자주 활용하는 기법이다. 안에 악성 코드를 심어두고 인기 높은 브라우저의 사용자들을 속여 설치하도록 만드는 것이다. 지난 2월 독립적으로 활동하는 보안 전문가 자밀라 카야(Jamila Kaya)와 보안 업체 듀오시큐리티(Duo Security)는 500개가 넘는 악성 크롬 플러그인을 발견하나 바 있다. 브라우저에 저장된 사용자들의 데이터를 훔쳐내는 기능을 가진 것들이었다. 6월에는 어웨이크 시큐리티(Awake Security)는 크롬 웹 스토어에서 70개가 넘는 악성 플러그인을 적발하기도 했었다.

이번에 어베스트가 발견한 악성 플러그인들의 경우, 사용자들이 브라우저에서 인터넷 서핑을 하다가 링크들을 클릭할 때마다 공격자가 제어하는 URL을 우회한 후에 링크가 원래 연결된 곳으로 접속되도록 만들어졌다. 뿐만 아니라 사용자들의 생년월일, 이메일 주소, 시스템 정보 등을 수집하기도 한다.

어베스트는 “공격자들의 공격 동기는 ‘돈’으로 보인다”고 한다. 특히 “여러 URL을 우회하게 함으로써 광고 비용을 발생시키는 것이 이들의 주 목적일 것 같다”는 의견이다. 또한 악성 기능이 여러 가지로 늘어날 가능성도 존재한다고 한다. “처음부터 이런 계획을 가지고 플러그인을 만들었을 수도 있지만, 애초에는 정상 앱을 만들었다가 사용자가 어느 정도 늘어난 이후 업데이트를 통해 악성 기능을 추가했을 수도 있습니다. 즉 앞으로도 추가 계획이 있었을 가능성이 높은 것이죠.”

이 공격이 처음 발견된 건 지난 달의 일이다. 플러그인들은 Video Downloader for Facebook, Vimeo Video Downloader, Instagram Story Downloader와 같은 이름으로 광고되고 있었다. 백도어 기능은 꽤나 능숙하게 감춰져 있고, 악성 기능이 발휘되는 건 설치 후 며칠이 지나고서부터라고 한다. 루빈은 “보안 소프트웨어들을 피해가기 좋은 방식으로 설계되었다”고 설명한다.

재미있는 기능이 하나 더 있다. 사용자가 악성 도메인과 관련된 정보를 검색하기 시작하면 악성 기능을 중단한다는 것이다. 그런 후에는 사용자가 분석가나 개발자인지 확인하는 절차가 시작된다고 한다. “브라우저 확장 프로그램들을 살핍니다. 웹 개발 혹은 분석 관련 프로그램들이 많이 설치되어 있다면 스스로를 비활성화시켜 최대한 존재를 감춥니다.”

이 악성 플러그인들은 주로 우크라이나의 사용자들을 노리는 것으로 분석됐다. 하지만 브라질, 스페인, 아르헨티나에서도 적잖은 다운로드 이력이 기록됐다. 구글과 마이크로소프트 모두 어베스트로부터 보고를 받고 조사에 나섰다.

3줄 요약
1. 소셜 미디어용 플러그인으로 위장한 악성 플러그인 28개 적발됨.
2. 사용자를 우회 접속시키거나 광고를 노출하거나 민감한 정보를 빼가거나.
3. 분석과 탐지 피하기 위한 독특한 기능도 발견됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>