ShadyPanda 악성 브라우저 확장 프로그램
장기적인 사이버 공격의 두드러진 사례로, ShadyPanda라는 위협 행위자가 브라우저 확장 프로그램을 표적으로 삼아 7년간 캠페인을 수행하여 430만 건 이상의 설치를 기록했습니다. 이 작전은 적절한 감독이 부재할 경우 합법적인 소프트웨어조차도 어떻게 무기화될 수 있는지를 보여줍니다.
목차
합법적인 도구에서 악성 업데이트까지
감염된 확장 프로그램 중 5개는 원래는 합법적인 애플리케이션이었지만 2024년 중반에 악성 기능으로 수정되었습니다. 이러한 업데이트는 결국 제거되기 전까지 약 30만 건의 설치를 유도했습니다. 악성 업데이트는 매시간 원격 코드 실행을 가능하게 하여 공격자가 브라우저 전체 접근 권한으로 임의의 자바스크립트를 다운로드하고 실행할 수 있도록 했습니다. 활성화되면 이러한 확장 프로그램은 다음과 같습니다.
- 방문한 모든 웹사이트를 모니터링합니다.
- 암호화된 검색 기록을 추출합니다.
- 브라우저 지문을 모두 수집합니다.
대표적인 사례로 구글에서 이미 검증된 Clean Master가 있습니다. Clean Master의 공식 인증 덕분에 ShadyPanda는 사용자 기반을 확대하여 의심을 받지 않고 악성 업데이트를 실행할 수 있었습니다.
인기 있는 애드온을 통한 대량 감시
WeTab을 포함한 다섯 가지 확장 프로그램은 대규모로 사용자를 모니터링했습니다. 이 애드온들은 URL, 검색 엔진 쿼리, 마우스 클릭 및 기타 브라우저 상호작용을 추적하여 중국에 있는 서버로 데이터를 전송했습니다. 이러한 확장 프로그램들은 총 약 400만 번 설치되었으며, WeTab만 해도 300만 건의 설치를 기록했습니다.
2023년에 개발자 'nuggetsno15'와 'rocket Zhang'이 배경화면이나 생산성 도구로 위장한 20개의 Chrome 확장 프로그램과 125개의 Edge 확장 프로그램을 게시하면서 악성 행위의 초기 징후가 나타났습니다.
제휴 사기 및 브라우저 하이재킹 악용
ShadyPanda의 확장 프로그램은 초기에는 제휴 사기에 연루되어 eBay, Amazon, Booking.com 등의 사이트에 추적 코드를 삽입하여 불법 수수료를 획득했습니다. 2024년 초에는 이러한 수법이 브라우저를 직접 제어하는 행위로 확대되었으며, 여기에는 다음이 포함됩니다.
- 검색어 수집.
- 알려진 하이재커인 trovi.com을 통해 검색 결과를 리디렉션합니다.
- 타겟 도메인에서 쿠키를 추출합니다.
2024년 중반, 오랫동안 합법적으로 사용되어 온 세 개의 확장 프로그램이 'api.extensionplay(dot)com'에서 매시간 JavaScript 페이로드를 가져오도록 수정되었습니다. 이 페이로드를 실행하여 모든 사이트 방문을 모니터링하고 암호화된 데이터를 'api.cleanmasters(dot)store'로 전송했습니다. 페이로드는 난독화 처리되었으며 개발자 도구에서 감지되면 양성 모드로 전환되어 맬웨어가 감지를 피하는 데 도움이 되었습니다.
고급 공격 기능
추적을 넘어, 이러한 확장 기능은 중간자 공격(AitM)을 수행하여 다음을 용이하게 할 수 있습니다.
- 신원 도용.
- 세션 하이재킹.
- 모든 사이트에 대한 임의적인 코드 삽입.
스크롤 동작, 페이지 사용 시간, 모든 브라우저 지문 등 광범위한 사용자 상호작용을 포착하는 WeTab과 같은 Microsoft Edge 애드온을 통해 감시가 강화되었습니다. 이러한 확장 프로그램은 더 이상 해당 마켓플레이스에서 다운로드할 수 없습니다.
사용자를 위한 권장 작업
이 캠페인은 합법적인 도구에서 정교한 스파이웨어로 진화하는 네 가지 단계를 거쳤습니다. 다운로드 수가 합법적인 것처럼 보이도록 인위적으로 부풀려졌는지는 확실하지 않지만, 사용자에게 미치는 위험은 여전히 심각합니다. 이러한 확장 프로그램을 설치한 사용자는 즉시 확장 프로그램을 제거하고 모든 온라인 계정의 비밀번호를 변경해야 합니다.
영향을 받는 확장 프로그램의 예:
- Clean Master: 최고의 Chrome 캐시 클리너
- Speedtest Pro-무료 온라인 인터넷 속도 테스트
- 블록사이트
- 주소창 검색엔진 전환기
- SafeSwift 새 탭
- 인피니티 V+ 새 탭
- OneTab Plus: 탭 관리 및 생산성
- WeTab 新标签页
- 모바일용 Infinity New Tab
- 인피니티 뉴탭(프로)
- 인피니티 새 탭
- 드림 아파르 새 탭
ShadyPanda의 성공은 기술적 정교함만으로는 충분하지 않다는 것을 보여줍니다. 이 캠페인은 브라우저 확장 프로그램 시장의 시스템적 취약점을 악용하여 성공을 거두었습니다. 확장 프로그램은 제출 시 검토되지만, 승인 이후의 활동은 대부분 모니터링되지 않습니다. 이러한 장기적인 감독 공백으로 인해 신뢰할 수 있는 도구가 조용히 감시 플랫폼으로 변질되었고, 검증된 소프트웨어일지라도 지속적인 감시의 필요성을 강조합니다.
