악성 확장 프로그램이 구글 크롬을 공격; 해커가 원격으로 제어할 수 있게 함

전 세계에서 많은 사람들이 사용하는 크롬은 사용자 정보를 저장하고 다양한 확장 프로그램을 지원하여 악성 소프트웨어 공격의 표적이 됩니다.

현재 Zimperium의 보고서에 따르면, 공격자가 구글 크롬을 원격으로 사용할 수 있게 해주는 악성 확장 프로그램이 발견되었습니다.

새로운 보고서에 따르면, Cloud9이라는 이름의 새로운 크롬 익스플로잇이 악성 확장 프로그램을 사용하여 온라인 계정을 훔치고, 키스트로크를 기록하며, 광고를 삽입하고, 악성 JS 노드를 주입하고, 피해자의 브라우저를 DDOS 공격에 참여시키고 있습니다.

Cloud9 봇넷은 기본적으로 크로미움 기반 브라우저(즉, 구글 크롬 및 마이크로소프트 엣지)를 위한 원격 액세스 트로이 목마(RAT)로, 그룹이 원격으로 명령을 실행할 수 있게 합니다.

악성 크롬 확장 프로그램은 공식 크롬 스토어에는 없지만, 가짜 어도비 플래시 플레이어 업데이트를 푸시하는 웹사이트와 같은 다른 매체를 통해 퍼지고 있으며, 이는 전 세계 사용자에게 영향을 미치고 있다고 보고서에서 언급하고 있습니다!

악성 크롬 확장 프로그램은 피해자의 자원을 사용하여 암호화폐를 채굴하고, 시스템에 대한 정보를 수집하기 위한 세 개의 자바스크립트 및 브라우저 봇넷을 실행하는 스크립트를 주입하는 것으로 구성됩니다.

보안 회사는 Firefox의 CVE-2019-11708 및 CVE-2019-9810 취약점, OG 인터넷 익스플로러의 CVE 2014-6332 및 CVE 2016-0189, 그리고 마이크로소프트 엣지의 CVE-2016- 취약점에 대한 익스플로잇 로딩을 발견했습니다.

이러한 익스플로잇은 피해자에게 윈도우 악성 소프트웨어를 자동으로 설치하고 실행하여 그룹이 심각한 시스템 손상을 일으킬 수 있게 합니다.

윈도우 악성 소프트웨어 구성 요소를 설치하지 않더라도, 악성 확장 프로그램인 Cloud9은 영향을 받은 브라우저에서 쿠키를 훔칠 수 있으며, 이를 통해 그룹이 사용자 세션을 장악하고 계정을 제어할 수 있습니다.

더욱이, 이 익스플로잇은 키로거를 사용하여 키 입력을 감시하고 비밀번호를 훔치며, 시스템의 클립보드를 지속적으로 스캔하여 새로운 비밀번호 및 기타 민감한 정보를 찾습니다.

이 악성 소프트웨어는 호스트의 전력을 사용하여 HTTP POST 요청을 통해 레이어 7 DDOS 공격을 실행합니다. 이렇게 되면 레이어 7 DDOS 공격은 유효한 요청처럼 보이기 때문에 판단하기가 매우 어렵습니다.

또한 해커는 웹페이지를 조용히 로드하여 광고 노출을 생성하고 수익을 올릴 수 있다고 Zimperium은 말했습니다.

Cloud9 뒤에 있는 그룹/해커는 Keksec 그룹의 일원일 가능성이 높으며, 최근 공격 중 하나에서 사용된 C2 도메인이 Keksec의 과거 공격에서도 발견되었습니다.

Keksec 그룹은 Tsunamy, DarkHTTP, Nectro 등과 같은 수많은 봇넷을 개발하고 운영하는 그룹입니다!

이 공격의 피해자는 전 세계에 퍼져 있으며, 그룹이 게시한 스크린샷은 그들이 여러 브라우저를 대상으로 하고 있음을 나타냅니다. 이러한 모든 공개적인 위치는 보안 회사가 그룹이 사이버 범죄 포럼에서 Cloud9을 판매하고 있다고 믿게 만듭니다.