728x90
최근 특정 기업을 대상으로 한 정보탈취형 악성코드가 발견되었습니다. 이 공격은 사용자 PC에 침투한 뒤 브라우저 확장 프로그램으로 위장하여, 계정 정보 및 시스템 정보를 광범위하게 탈취하는 고도화된 수법을 사용합니다. 본 글에서는 해당 공격의 흐름과 기술적 구조, 보안적 시사점을 정리합니다.
공격 개요 및 흐름
- 드라이브 바이 다운로드
사용자가 특정 웹사이트를 방문하면 ZIP 압축 파일이 자동으로 다운로드됩니다. 이 파일은 실행 가능한 MSI 파일을 포함하고 있으며, 사용자가 실행 시 내부에 포함된 악성 DLL을 정상 프로세스를 가장하여 로드합니다. - DLL 사이드로딩 및 루마C2 로더 실행
공격자는 정상 암호화 도구를 오용하여 악성 DLL을 로드하고, PowerShell을 통해 외부 서버에서 2차 페이로드를 다운로드합니다. - 악성 크롬 확장 프로그램 설치
다운받은 페이로드는 ‘Save to Google Drive’라는 이름의 가짜 확장 프로그램을 브라우저에 설치합니다. 해당 확장은 화면 캡처, 클립보드 탈취, 웹페이지 조작, 쿠키 탈취 등 다양한 악성 행위를 수행합니다.
확장 프로그램 분석
Premium App 으로 위장한 Setup.msi 설치파일을 실행 시, 유포지로부터 추가 악성코드를 다운로드하여 실행
최종 실행되는 파일은 브라우저 확장프로그램으로 위장
해당 악성 확장 프로그램은 다음과 같은 기능을 포함합니다:
- 웹 계정 조작: 주요 금융/결제 사이트에 대한 자동화된 접근 및 잔액 탈취 시도
- 시스템 정보 수집: CPU, 메모리, 디스크, GPU 등 하드웨어 정보 및 브라우저 쿠키 수집
- 팝업 조작: Google Pay, Facebook 광고 관리자 등 특정 도메인에 대한 백그라운드 팝업 조작
- 화면 캡처 및 인젝션: 웹페이지에 악성 스크립트 삽입 및 사용자의 입력값 탈취
- 프록시 기능 포함: 브라우저를 원격 프록시로 전환하는 기능이 포함되어 세션 하이재킹 가능성 존재
통신 구조 및 회피 기법
- C2 서버 주소 은닉: 공격자는 비트코인 블록체인 트랜잭션에 특정 값을 심어두고, 이를 조회하여 C2 주소를 확보합니다. 이 기법은 정적 분석이나 도메인 기반 차단을 어렵게 만듭니다.
- 난독화된 자바스크립트: 확장 프로그램 내부 코드는 고도화된 난독화가 적용되어 있으며, 명령어와 API 경로가 실시간으로 업데이트됩니다.
보안적 대응 방안
- 크롬 확장 통제 정책 적용
- 업무용 PC에 허가된 확장 프로그램만 설치되도록 제한
- 개발자 모드 비활성화
- 엔드포인트 모니터링 강화
- DLL 사이드로딩, PowerShell 실행 이력 모니터링
- 감염 후 웹 요청 이상 행위 탐지(팝업 생성, clipboard hijack 등)
- 사용자 보안 인식 교육
- 브라우저 확장 설치 시 경고
- 자동 다운로드된 파일 실행 자제 유도
- 블록체인 기반 통신 탐지
- 블록체인 API 접근 로그 모니터링
- Base58 디코딩 기반 통신 여부 탐지
결론
이번 사례는 공격자가 크롬 브라우저 환경을 악용해 피해자의 디지털 자산에 직접 접근하고 있다는 점에서 매우 위협적입니다. 특히 확장 프로그램 기반의 악성코드는 기존 백신이나 EDR에서 탐지 우회가 가능하기 때문에, 브라우저 보안에 대한 관심과 기술적 대응이 절실한 시점입니다.
또한 블록체인 트랜잭션을 이용한 C2 주소 우회 기법은 분석자 입장에서 탐지 난이도가 높은 만큼, 보안 커뮤니티 차원의 협업도 중요합니다.
사용자에게 눈에 띄지 않게 확장을 설치하고, 정상 서비스처럼 위장한 후 민감 정보를 빼내는 수법은 점점 정교해지고 있습니다. 브라우저 확장 생태계를 노린 공격은 앞으로도 지속될 가능성이 높으므로, 기업 보안팀은 탐지 체계를 보강하고, 의심 확장 프로그램에 대한 조사를 상시 수행해야 합니다.
728x90
