크롬 확장 프로그램 해킹은 예상보다 훨씬 이른 시기에 시작되었을 수도 있습니다.

최근 사이버공격에 대한 새로운 세부 정보가 드러났습니다.
악성 구글 크롬 익스텐션으로 약 40만 명의 사용자가 악성 소프트웨어에 감염되었습니다.
공격자들은 2024년 3월 이른 시기에 이 캠페인을 계획했다고 보고되었습니다.
사이버보안 기업인 Cyberhaven을 공격한 최근 사이버공격은 일련의 구글 크롬 익스텐션에 영향을 미쳤으며, 새로운 연구에 따르면 ‘더 넓은 캠페인’의 일부일 수 있습니다.
BleepingComputer 조사 결과, 동일한 코드가 적어도 35개의 구글 크롬 익스텐션에 주입되었으며, 전 세계 약 260만 명의 사용자에 의해 사용되고 있습니다. 이로 인해 40만 대의 기기가 CyberHaven 익스텐션을 통해 악성 코드에 감염되었습니다.
이 캠페인은 12월 5일부터 시작되었으며, 처음 의심되었던 것보다 두 주 이상 빨리 시작되었습니다. 그러나 제어 및 제어 서브도메인은 2024년 3월로 거슬러 올라가는 것으로 발견되었습니다.
데이터 유실 방지
아이러니하게도 사이버보안 기업 Cyberhaven은 페이스북이나 ChatGPT와 같은 비승인된 플랫폼으로부터 민감한 데이터 유실을 방지하기 위한 구글 크롬 익스텐션을 제공하는 스타트업입니다.
이 특정 사례에서 공격은 개발자를 상대로 피싱 이메일을 통해 시작되었는데, 구글 알림으로 위장하여 익스텐션이 Chrome 웹 스토어 정책을 위반했고 제거 위험이 있다는 경고를 보냈습니다. 개발자는 ‘개인정보 보호 정책 익스텐션’을 허용하도록 권장받았고, 그 후 공격자들에게 권한을 부여하고 액세스를 허용했습니다.
이후 새로운 악성 버전의 익스텐션이 업로드되었는데, 이는 구글의 보안 검사를 우회하고 크롬의 자동 익스텐션 업데이트로 약 40만 명의 사용자에게 퍼졌습니다.
이제 공격자들이 피해자로부터 페이스북 데이터를 수집하려고 했고, 공격에 사용된 도메인들은 2024년 3월에 등록되고 테스트되었으며, 사건을 앞두고 11월과 12월에 새로운 세트가 생성되었음이 밝혀졌습니다.
“직원은 표준 절차를 따라 이 악의적인 제3자 응용프로그램을 무심코 승인했습니다.” Cyberhaven은 발표에서 이렇게 말했습니다.
“해당 직원은 Google 고급 보호를 활성화하고 계정을 커버하는 MFA를 사용했습니다. 해당 직원은 MFA 프롬프트를 수신하지 못했습니다. 직원의 Google 자격 증명은 침해당하지 않았습니다.”