크롬 확장프로그램 보안을 회피하는 말웨어 등장

인터넷 보안 관련 제품을 개발하고 판매하는 트랜드 마이크로는 회사 블로그를 통하여 크롬 확장 기능의 보안을 회피하는 악성 프로그램이 등장하였다고 밝혔습니다.

2014년 초 구글은 악성 브라우저 확장 기능이 나돌고 있는 문제에 대처하기 위해 크롬 웹스토어를 통해서만 확장 기능을 설치 가능하도록 보안 정책을 강화했습니다. 이런 결과로 사용자 보안은 현격히 향상된 것으로 여겨지고 있었습니다. 하지만 이러한 보안을 회피하려는 악성 말웨어 프로그램도 존재한다고 트렌드 마이크로는 밝혔습니다. 

트랜드 마이크로가 발견한 확장 기능의 이름은 "Facebook Secrets"라는 것입니다. 단축 URL과 특징을 설명하는 간단한 문장을 한세트로 Twitter에서 확산되었습니다. 아래 그림의 빨간 테두리 부분에 있는 트윗 URL을 클릭하면 자동으로 실행 파일이 사용자의 PC에 다운로드됩니다. 

다운로드된 실행 파일의 이름은 "download-video.exe"로서 "TROJ_DLOADE.DND"를 포함한 말웨어입니다. 말웨어는 조금이라도 사용자에게 신뢰감을 주기 위하여 "flash.exe" 같은 진지한 파일 이름을 사용하는 것이 특징입니다.

자동으로 실행 파일이 다운로드되자 동시에 브라우저 확장 기능도 함께 PC에 설치됩니다. 설치된 확장 기능은 Flash Player로 보이며 아무런 피해도 없는 소프트웨어로 생각됩니다.

Google의 보안 정책을 피하기 위해 악성 프로그램은 크롬 브라우저 확장과는 다른 디렉토리 폴더에 저장됩니다.

설치된 폴더에는 "manifest.json"과 "crx-to-exe-convert.txt"라는 2개의 파일이 나타납니다. "manifest.json"은 설정 파일에서 확장 기능의 이름과 버전 등이 기술되어 있는 것입니다. "crx-to-exe-convert.txt"은 확장 기능을 동작시키기 위한 스크립트를 포함하고 있어 언제든 특정 URL에 접속하면 최신의 스크립트로 업데이트가 가능하다고 합니다. 

사용자가 Facebook과 Twitter를 열면 배경에서 확장 기능이 마음대로 특정 사이트를 엽니다. 이러한 "특정 사이트"는 전형적인 클릭 사기 사이트입니다.

이러한 악성 코드로부터 지키기 위해서는 Twitter와 Facebook의 단축 URL은 클릭하지 않아야 합니다.

뉴스피드 동영상의 자동 재생에 대한 페이스북(Facebook)의 설명

고프로(GoPro)의 베스트셀러 카메라에 숨겨진 단순하나 뛰어난 점

페이스북과 같은 SNS를 계속 확인하는 버릇을 그만두면 생기는 좋은 일