ChromeLoader 악성코드 급증으로 전 세계 브라우저 위협

ChromeLoader 악성코드 급증으로 전 세계 브라우저 위협

 

보안 업체 Red Canary는 새로운 ChromeLoader(Choziosi loader) 악성코드가

지난 5개월 간 크게 증가해 전 세계적으로 브라우저 하이재킹 위협이 증가하고 있다고 밝혔습니다.

 

공격자는 Twitter에서 QR 코드를 통해 불법 복제 소프트웨어를 다운받을 수 있다고 말하며

악성 ISO 파일을 다운로드하도록 유도합니다.

 

*브라우저 하이재킹: 사용자의 허가 없이 웹 브라우저 설정을 수정해 원치 않는 광고를 브라우저에 삽입하는 공격 수법

 

ChromeLoader 악성코드는 

피해자의 웹 브라우저 설정을 수정해 

공격자가 제휴한 광고 웹사이트로 리디렉션합니다.

공격자는 광고 수익을 통해 금전적 이득을 얻습니다.

지금까지 다양한 종류의 하이재커가 있었지만, 

ChromeLoader는 PowerShell을 사용해 

악성 확장 프로그램을 추가하고 

지속적으로 공격을 진행한다는 점이 특징입니다.

 

Windows 10 이상에서 사용자가 크랙된 파일을 다운받아 실행하면 

ISO 파일(CS_Installer.exe)이 추출되어 피해자의 시스템 드라이브로 마운트됩니다. 

 

ChromeLoader는 C2 서버에서 파일을 가져와 

구글 크롬 확장 프로그램을 로드하는 PowerShell 명령을 실행합니다.

 

이 작업이 완료되면, PowerShell은 예약된 작업을 제거해 브라우저를 가로채고 

검색 엔진 결과를 조작하는 확장 프로그램에 감염시킵니다.

 

ChromeLoader 악성코드의 공격 흐름도입니다.

 

ChromeLoader는 macOS 시스템에서도

Chrome과 Safari 웹 브라우저에 악성 확장 프로그램을 로드할 수 있습니다.

 

공격자는 ISO 파일 대신 DMG(Apple Disk Image) 파일을 사용합니다.

 

또한, 설치 프로그램 실행 파일 대신 

ChromeLoader를 "private/var/tmp" 디렉토리 내에 

다운로드하고 압축을 푸는 Bash 스크립트를 사용합니다.

 

1. 컴퓨터에서 Chrome을 엽니다.

2. 오른쪽 상단에서

> 도구 더보기 > 확장프로그램을 클릭합니다.

3. 아래 메뉴에서 확장 프로그램을 관리합니다.

- 켜기/끄기

- 사이트 액세스

- 시크릿 모드에서 허용

- 파일  URL에 대한 액세스 허용 등

 

1. Mac용 Safari 앱을 엽니다.

2. Safari > 환경설정 > 확장 프로그램을 클릭합니다.

3. 아래 메뉴에서 확장 프로그램을 관리합니다.

-  확장 프로그램 켜기/끄기

-  확장 프로그램의 설정 변경하기

-  확장 프로그램 제거하기 등

 

 

감사합니다.

제작 : MIR Team
문의 : mss_analysis@cyberone.kr

블로그 : https://mir.team

페이스북 : https://www.facebook.com/mirteamofficial