크롬, 야후 등 브라우저 해킹하는 ‘크롬로더 멀웨어’ 발견 
상태바
크롬, 야후 등 브라우저 해킹하는 ‘크롬로더 멀웨어’ 발견 
  • 곽중희 기자
  • 승인 2022.05.27 14:46
  • 댓글 0
이 기사를 공유합니다

모든 웹 브라우저에 침투, 브라우저 설정 변경해 광고 웹 사이트로 우회

Red Canary의 보안 연구원이 최근 ‘크롬로더(ChromeLoader) 멀웨어’를 통해 브라우저를 해킹하는 악성 광고 캠페인이 등장했다고 경고했다.

크롬로더는 악성 크롬 브라우저 확장 프로그램으로, 브라우저 설정을 수정해 사용자 트래픽을 광고 사이트로 우회시키는 멀웨어로 분류된다. 트래픽 조작을 통해 광고 수익을 노리는 것을 주 목적으로 한다. 

크롬로더는 주로 불법 게임, 영화 또는 TV 프로그램으로 가장한 ISO 파일을 통해 유포된다. ISO 파일에 포함된 하위 파일을 실행하면 다른 파일과 함께 크롬로더가 설치된다.

보안 전문가들에 따르면, 크롬로더는 파워쉘(PowerShell, 프로그래밍 언어의 일종)을 사용해 브라우저에 악의적인 확장을 추가한다. 이는 보안 도구에서 잘 감지되지 않는 것으로 알려진다.

이 멀웨어는 구글, 야후, 빙 등 인기 검색 엔진으로 리디렉션할 수 있으며. 또한 파워쉘을 사용해 사용자의 브라우저에 악성 확장 프로그램을 추가할 수도 있다.

지난 4월 보안 연구원 Colin Cowie는 크롬로더의 맥OS 버전에 대한 분석을 발표했다. 분석에 따르면, 크롬로더는 크롬과 사파리 등 모든 웹 브라우저에 악성 확장 프로그램을 설치하는 것으로 알려졌다.

전문가는 보고서를 통해 크롬로더의 위협을 탐지하기 위한 방법을 공개했는데, 내용은 다음과 같다. 

• 탐지 기회 1: 명령줄에 encodingCommand 플래그의 단축 버전이 포함된 PowerShell.
• 탐지 기회 2: 명령줄 내에서 로드 확장 및 AppData\Local을 포함하는 chrome.exe를 생성하는 PowerShell.
• 탐지 기회 3: 명령줄 내에서 Chrome 확장 프로그램을 로드하는 셸 프로세스 생성 프로세스.
• 탐지 기회 4: Base64 인코딩 명령을 쉘 프로세스로 리디렉션

 

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.