본문 바로가기
Security_News/해외보안소식

Chrome 확장 기능의 보안 조치를 회피하는 악성 프로그램 확인

Ryansecurity 2014. 9. 12. 00:26
728x90

브라우저의 확장 기능은 본래는 브라우저의 기능을 높이기 위해 만들어진 것이지만, 사이버 범죄에 이용되는 도구이기도합니다. Google은 2014 년 5 월, 이러한 부정한 브라우저 확장 기능의 문제를 해결하기 위해 'Chrome 웹 스토어'에 호스트 된 확장 기능 만 설치를 인정하는 규정 을 시행했습니다.

이 규정은 사용자가 두껍게 보호지게했지만,이 규정을 피하려고하는 사이버 범죄자의 음모를 완전히 저지 할 수 없습니다. 트렌드 마이크로는 올해 8 월, Google Chrome에 확장 기능을 설치하는 악성 프로그램을 확인했습니다.

■ Twitter에서 확산 "Facebook Secrets"
당사는 Twitter에서 "Facebook Secrets '라는 동영상을 다운로드 할 수 있다고 노래 트윗을 확인했습니다. 사용자가이 트윗에 포함 된 단축 URL을 클릭하면 Web 사이트로 유도되어 EXE 파일이 사용자의 PC에 자동으로 다운로드됩니다.

그림 1 : 잘못된 링크가 포함 된 트윗
그림 1 : 잘못된 링크가 포함 된 트윗

"download-video.exe"라는 파일명으로 다운로드되는 파일은 실제로 " TROJ_DLOADE.DND "로 검출되는 다운입니다. 이 다운하여 PC에 파일이 잇달아 다운로드 또는 생성됩니다. 사용자로부터 의심하지 않기 때문에 이러한 파일은 "flash.exe"라는 정규 파일에 볼 수있는 파일 이름을 사용합니다.

■ 브라우저 확장 기능을 설치
이 악성 프로그램은 파일의 다운로드 및 작성 외에도 Flash Player의 확장을 가장 한 브라우저의 확장 기능을 PC에 설치합니다.

그림 2 : 가짜 Flash Player의 확장
그림 2 : 가짜 Flash Player의 확장

Google의 보안 정책을 우회하기 위해이 악성 프로그램은 Google Chrome 디렉토리에 폴더를 만들고 다음 두 브라우저 확장 기능의 구성 요소를 만듭니다.

  • manifest.json - 브라우저 확장 기능에 대한 자세한 정보 (이름,로드 스크립트 버전 등)를 포함한다.
  • crx-to-exe-convert.txt - 읽히는 스크립트를 포함한다. 특정 URL에 연결할 때마다 업데이트된다.

이 브라우저 확장 기능을 활성화하기 위해 브라우저는 작성된 구성 요소 "manifest.json"의 정보를 구문 분석합니다.

그림 3 : 악성 프로그램이 악성 활동을하기 전에 기능 확장 폴더
그림 3 : 악성 프로그램이 악성 활동을하기 전에 기능 확장 폴더

그림 4 : 폴더가 생성 된 브라우저 확장 기능의 구성 요소가 생성되는
그림 4 : 폴더가 생성 된 브라우저 확장 기능의 구성 요소가 생성되는

사용자가 Facebook 또는 Twitter에 액세스하면이 확장 기능은 뒤에서 특정 Web 사이트에 액세스합니다. 이 Web 사이트는 터키어로 기술되어 있으며, "신랄한 말" "무거운 가사」 「의미있는 가사」 「사랑의 메시지」 「사랑의 가사"라는 의미의 말이 Web 페이지에 표시됩니다. 이것은 부정 클릭이나 잘못된 Web 사이트로 유도 등 불법 활동의 일부라고 생각됩니다.

그림 5 : 터키어로 쓰여진 Web 사이트
그림 5 : 터키어로 쓰여진 Web 사이트

■ 트렌드 마이크로의 대책
소셜 미디어는 사회 공학 "미끼"로 널리 이용되게되었습니다. 그러나 자주 사용 된다고해서 그 효과가 희미 해지는 것은 아닙니다. 예를 들어, 이번 트윗은 당사가 확인한 시점에서 이미 6,000 회 이상 리트되어있었습니다. 즉, 이러한 방법은 Twitter에서 널리 이용되고 있으며, 사이버 범죄자는 큰 그물을 던져 피해자가되는 사용자를 노리고 있습니다. 단축 URL은 클릭하지 않도록하십시오. 소셜 미디어에서 표시되는 것에 특히주의하십시오. 사이버 범죄자는 사용자에게 링크를 클릭하기 위해서는 어떤 일이라도합니다.

또한 브라우저의 확장 기능은 공식 웹 스토어 및 신뢰할 수있는 소스에서 설치하십시오. Google Chrome에서는 보안 대책을 강구하고 있습니다 만, 다른 브라우저에서 동일하게 보장되는 것은 없습니다.

Trend Micro 제품을 사용할 사용자가 당사의 클라우드 형 보안 기초 " Trend Micro Smart Protection Network "에 의해 지켜지고 있습니다. 특히 " Web 평판 "기술은이 위협에 대한 잘못된 Web 사이트에 대한 액세스를 차단합니다. 그리고 " 파일 평판 "기술은 위의 악성 프로그램을 감지하고 제거합니다.

협력 저자 : Rhena Inocencio 및 Adrian Conferos

참고 기사 :

  • Malware Bypasses Chrome Extension Security Feature " 
    by Sylvia Lascano (Fraud Analyst)

    •  번역 : 시나가와 아키코 (Core Technology Marketing, TrendLabs)

    Related Posts :

    1. 9 천만 건 이상의 "좋아요"속임수. 가짜 "Adobe Flash Player"의 플러그인을 가지고
    2. 가짜 Adob​​e Flash Player 업데이트 터키의 사용자를 노리는
    3. Adobe, Flash Player에 존재하는 제로 데이 취약점에 대한 보안 정보를 공개
    4. "Facebook Chat '인증을 가장 한 스팸 게시물을 확인


    728x90
    저작자표시 비영리 변경금지

    'Security_News > 해외보안소식' 카테고리의 다른 글

    Facebook의 신용을 악용한 사기 발견  (0) 2014.09.12
    구글 지메일 등 안드로이드앱 해킹에 취약  (0) 2014.09.12
    미국 대형 홈 센터 "Home Depot"의 POS 시스템에 대한 무단 침입 "BlackPOS"  (0) 2014.09.12
    국내 은행 · 신용 카드 회사 37 개사를 노리는 자동 부정 송금 도구를 철저 분석  (0) 2014.09.12
    금융 기관을 노리는 사이버 공격 '에멘탈 작전'위협  (0) 2014.09.12

    'Security_News/해외보안소식' Related Articles

    티스토리툴바