Bitwarden이라는 인기 있는 비밀번호 관리 앱을 사칭하는 페이스북 광고가 사용자의 브라우저에서 민감한 데이터를 수집하고 도용하는 악성 Google Chrome 확장 프로그램을 푸시하고 있습니다. 이 광고는 사용자들에게 Bitwarden의 오래된 버전을 사용하고 있다며 프로그램을 즉시 업데이트하도록 경고합니다. 광고에 포함된 링크는 Google의 공식 Chrome 웹 스토어인 'chromewebstore[.]google[.]com'을 사칭하는 'chromewebstoredownload[.]com'입니다.
링크를 클릭하면 확장 프로그램이 자동으로 설치되는 것이 아니라, 방문자들은 Google Drive 폴더에서 ZIP 파일을 다운로드하도록 요청받습니다. 이는 위험의 명확한 신호이지만, Chrome 웹 스토어에 익숙하지 않은 사용자들은 웹페이지의 설명을 따라 수동 설치를 진행할 수 있습니다. 설치는 Chrome의 '개발자 모드'를 활성화하고 프로그램에 확장 프로그램을 수동으로 사이드로드하는 것을 필요로 하므로, 기본적으로 보안 검사를 우회합니다.
이 확장 프로그램은 'Bitwarden Password Manager' 버전 0.0.1로 등록되며, 사용자 활동을 가로채고 조작할 수 있는 권한을 획득합니다. 주요 기능은 Facebook 쿠키, 특히 사용자 ID를 포함하는 'c_user' 쿠키를 수집하고, 공개 API를 사용하여 IP와 지리적 위치 데이터를 수집하며, Facebook의 Graph API를 통해 Facebook 사용자 정보, 계정 정보, 청구 데이터를 수집하고, 브라우저 DOM을 조작하여 가짜 로딩 메시지를 표시하고, 민감한 데이터를 인코딩하고 공격자의 제어 하에 있는 Google Script URL로 전송합니다.
요약
- 페이스북 광고를 통해 가짜 Bitwarden 악성 확장 프로그램이 유포되고 있다.
- 사용자들은 Google Drive에서 ZIP 파일을 다운로드하도록 요청받으며, 이는 보안 검사를 우회한다.
- 이 확장 프로그램은 사용자 활동을 가로채고 조작할 수 있는 권한을 획득하며, 민감한 데이터를 수집하고 공격자에게 전송한다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.