Avast, 악성 브라우저 확장 프로그램에 대한 추가 세부정보 제공

작년에 발견된 악성 브라우저 확장 프로그램을 다운로드한 불행한 300만 사용자 중 한 명이셨나요? 구글과 마이크로소프트는 이를 차단했지만, 확장 프로그램은 여전히 피해를 주었습니다. 보안 회사인 Avast는 이러한 브라우저 확장 프로그램과 그들이 무엇을 했는지에 대한 추가 세부정보를 제공하여 이전 보고서를 업데이트하고 있습니다.

CacheFlow의 의도

이 악성 브라우저 확장 프로그램은 Avast에 의해 2020년 말 CacheFlow라는 캠페인에 포함되었습니다. 구글과 마이크로소프트는 위험에 대한 통지를 받은 후 12월 18일까지 위협을 제거했습니다.

CacheFlow 확장 프로그램은 분석 요청의 Cache-Control HTTP 헤더를 사용하여 명령 및 제어 트래픽을 숨기려고 했습니다. 이는 구글 애널리틱스 트래픽처럼 보이도록 위장된 새로운 기술로 여겨집니다. 악성 지시를 숨기는 것과 함께, Avast는 악성 확장 프로그램의 저자들이 분석 요청에 접근하고 싶어했을 것이라고 믿고 있습니다.

악성 확장 프로그램의 다운로드 대부분은 브라질, 우크라이나, 프랑스에서 발생했습니다. Avast는 체코 블로그 게시물을 통해 브라우저 확장 프로그램에 대해 처음 알게 되었고, 하나의 확장 프로그램에 대한 후속 조사를 통해 여러 확장 프로그램으로 확장되었다는 것을 깨달았습니다.

보안 회사는 또한 난독화된 자바스크립트를 역공학한 후, 브라우저 리디렉션과 함께 해커들이 사용자의 데이터, 즉 모든 검색 엔진 쿼리를 수집하고 있다는 것을 깨달았습니다.

해커들은 자신이 드러나는 것을 피하기 위해 매우 교활했습니다. 그들은 확장 프로그램을 통해 또는 사용자가 로컬 호스팅된 웹사이트에 접근했는지 여부를 학습하여 웹 개발자일 가능성이 있는 사용자를 감염시키는 것을 피할 수 있었습니다. 또한, 다운로드 후 3일 동안 악성 활동을 피하여 해커의 진정한 악의적 의도를 누구에게도 알리지 않았습니다. 브라우저 개발자 도구가 열리거나 사용자가 악성 소프트웨어의 도메인 중 하나를 구글링하면 확장 프로그램이 비활성화되었습니다.

브라우저 확장 프로그램 노출

하지만 CacheFlow는 최소한 2017년부터 수년간 활동해왔습니다. 그동안 조용히 은폐하고 있었습니다. CacheFlow가 어떻게 작동했는지, Avast가 이를 어떻게 폭로했는지에 대해 더 알고 싶다면 보안 회사의 블로그 게시물을 확인해 보세요.

Avast는 CacheFlow에 대한 이 자세한 정보를 제공하는 이유는 “이러한 기술이 어떻게 작동하는지 이해하는 것이 다른 악성 소프트웨어 연구자들이 미래에 유사한 트렌드를 발견하고 분석하는 데 도움이 될 것”이라고 믿기 때문입니다.

비슷한 이유로 제가 이 뉴스를 여기에서 다루고 있습니다. 우리는 아무도 이 피해자가 되기를 원하지 않으며, 해커들이 무엇을 할 수 있는지에 대해 모두가 더 많이 알수록 그들이 더 적게 빠져나갈 것입니다.

사이버 범죄자들은 어디에나 존재합니다. 그들의 활동을 파악하려면 지속적인 주의가 필요합니다. 재택 근무 트렌드가 사이버 공격과 가짜 협업 앱의 증가로 이어진 방법을 살펴보세요.