Chrome 웹 스토어에서는 악성 브라우저 확장 프로그램이 여전히 문제이지만 Google은 최근 몇 년간 Chrome 사용자의 삶을 더욱 안전하게 만들기 위해 적극적으로 노력해 왔습니다. 회사는 스토어에서 악성 확장 프로그램을 자주 제거하고 있으며 이제 VPN으로 가장하는 위험한 추가 기능 3개를 제거했습니다.
ReasonLabs의 사이버 보안 연구원들은 가짜 VPN 확장 프로그램을 발견했으며 이 악성 코드는 Grand Theft Auto, The Sims 4, Heroes 3 및 Assassin's Creed와 같은 인기 비디오 게임의 다운로드를 통해 배포되었다고 밝혔습니다. 트로이 목마 설치 프로그램은 크기가 60MB에서 100MB에 이르는 Electron 애플리케이션으로 1,000개 이상의 다양한 토렌트 파일에서 발견된 것으로 알려졌습니다.
파일이 컴퓨터에 다운로드되면 사용자의 조치 없이 VPN 확장이 자동으로 시스템에 설치됩니다. 또한 설치 프로그램은 감염된 장치에서 맬웨어 방지 소프트웨어를 확인한 다음 최소 3개의 가짜 VPN 확장 프로그램 중 하나를 강제 설치하는 것으로 알려졌습니다. 세 가지 확장 프로그램 중 가장 인기 있는 것은 1백만 명 이상의 사용자를 보유한 netPlus이고, 나머지 두 개는 역시 500,000회 설치된 netSave와 netWin입니다.
이러한 악성 확장 프로그램의 개발자는 이를 정품으로 위장하기 위해 많은 노력을 기울이고 있으며, 첫눈에 정품처럼 보이도록 일부 실제 VPN 기능과 유료 구독 계층을 제공합니다. 그러나 세 가지 확장 프로그램 모두 "오프스크린" 권한을 남용하여 오프스크린 API를 통해 스크립트를 실행하고 웹페이지의 현재 DOM(문서 개체 모델)에 대한 전체 액세스 권한을 얻어 민감한 사용자 데이터를 훔칠 수 있습니다.
이러한 확장 프로그램은 브라우저를 하이재킹하고, 네트워크 요청을 조작하고, 다른 확장 프로그램을 자동으로 비활성화할 수도 있습니다. 보고서에 따르면 이 악성코드는 감염된 컴퓨터의 캐시백 확장 기능을 비활성화하고 수익을 범죄자에게 리디렉션합니다. 이 악성코드는 AvastSafePrice, AVGSafePrice, Honey: AutomaticCoupons & Rewards, LetyShops, Megabonus, AliRadarShoppingAssistant, Yandex.MarketAdviser, ChinaHelper 및 Backlit을 포함하여 100개 이상의 합법적인 캐시백 확장 프로그램을 표적으로 삼는 것으로 알려졌습니다.
ReasonLabs가 Google에 연락한 후 Google은 Chrome 웹 스토어에서 세 가지 확장 프로그램을 모두 제거했지만 약 150만 대의 기기가 감염되기 전에는 제거하지 않았습니다. 이러한 확장 프로그램은 기록이기는 하지만 Chrome 웹 스토어의 마지막 악성 코드가 될 가능성은 낮으므로 사람들은 자신의 기기에 설치하는 항목에 대해 항상 주의를 기울여야 합니다.
자세히 알아보기:
https://reasonlabs.com/research/the-cashback-extension-killer