피싱 공격에 Chrome 확장 프로그램이 하이재킹되었습니다.

해커들은 12월 5일부터 시작된 일련의 공격을 통해 최소 35개의 Chrome 확장 프로그램을 손상시켰습니다. 이 공격에는 가짜 Chrome 웹 스토어 도메인에서 전송된 정교한 피싱 이메일이 포함되었습니다.

이러한 이메일은 개발자에게 정책 위반 혐의를 긴급히 해결하도록 촉구했습니다. 피싱 이메일은 피해자를 Google 리소스에 액세스하기 위한 자격 증명을 수집하는 방문 페이지로 연결했습니다. 보안 회사인 Cyberhaven은 직원 중 한 명이 실수로 악성 타사 애플리케이션을 승인했음을 확인했습니다.

이는 해커에게 필요한 자격 증명을 제공했습니다. 분석가들은 공격자가 Facebook 계정을 표적으로 삼고 있다고 판단했습니다. 그들은 Facebook의 2단계 인증(2FA) 메커니즘과 관련된 QR 코드를 찾고 있었습니다.

손상된 확장 프로그램은 약 260만 명의 사용자에게 영향을 미쳤습니다. Google Chrome은 세션 쿠키에 대한 앱 바인딩 암호화를 포함하여 이러한 공격에 대해 여러 가지 보호 기능을 사용합니다. 기타 보호 기능에는 세이프 브라우징, 기기 바인딩 세션 자격 증명, Google의 계정 기반 위협 감지 기능이 포함됩니다.

Google은 암호 키를 사용하면 피싱 및 사회 공학 공격의 영향을 크게 줄일 수 있다고 강조했습니다. 보안 키는 기존 SMS나 앱 기반 2FA보다 다양한 형태의 공격에 더 효과적인 것으로 나타났습니다.

Chrome 확장 프로그램 피싱 공격이 미치는 영향

Cyberhaven의 CEO인 Howard Ting은 훔친 직원 자격 증명을 사용하여 악성 확장 프로그램이 게시되었다고 말했습니다. 이 확장은 12월 24일부터 12월 말까지 활성 상태로 유지되었습니다.

25. 손상된 Cyberhaven 확장 프로그램(버전 24.10.4)은 12월 25일에서 26일 사이에만 활성화되었습니다.

이 기간 동안 자동 업데이트가 활성화된 Chrome 기반 브라우저 사용자의 세션과 쿠키가 도난당했을 수 있습니다. 공격자는 소셜 미디어 광고 및 AI 플랫폼에 대한 로그인을 표적으로 삼았습니다. Cyberhaven은 CI/CD 프로세스 및 코드 서명 키를 포함하여 다른 시스템이 영향을 받지 않았음을 확인했습니다.

Chrome 웹 스토어에서 악성 확장 프로그램이 제거되었으며 보안 버전(24.10.5)이 자동으로 배포되었습니다. 영향을 받은 사용자에게 알림이 전달되었으며 확장 프로그램을 즉시 업데이트하도록 권고되었습니다. Google Chrome 보안 팀은 사용자에게 확장 프로그램을 설치할 때 주의할 것을 권고합니다.

설치된 확장 프로그램을 정기적으로 검토하고, 신뢰할 수 있는 소스에서만 확장 프로그램을 설치하고, 요청된 권한에 주의를 기울이고, 모든 확장 프로그램을 업데이트된 상태로 유지할 것을 권장합니다. 이러한 공격으로부터 사용자 데이터를 보호하려면 지속적인 경계와 사전 조치가 여전히 중요합니다.