'GhostPoster'라는 새로운 캠페인이 악성 파이어폭스 확장 프로그램의 이미지 로고에 자바스크립트 코드를 숨겨 브라우저 활동을 모니터링하고 백도어를 설치하고 있습니다. 이 악성 코드는 운영자에게 브라우저에 대한 지속적인 고권한 접근을 허용하여, 제휴 링크를 탈취하고, 추적 코드를 주입하며, 클릭 및 광고 사기를 저지르는 데 사용됩니다. 숨겨진 스크립트는 원격 서버에서 주요 페이로드를 가져오는 로더로 작동합니다. 이 과정을 탐지하기 어렵게 하기 위해, 페이로드는 10번 시도 중 한 번만 의도적으로 검색됩니다.
Koi Security 연구원들은 GhostPoster 캠페인을 발견하고, PNG 로고를 읽어 악성 로더를 추출하고 실행하거나 공격자의 서버에서 주요 페이로드를 다운로드하는 17개의 손상된 파이어폭스 확장 프로그램을 확인했습니다. 이 악성 확장 프로그램들은 인기 있는 카테고리에서 나왔으며, 모든 확장 프로그램이 동일한 페이로드 로딩 체인을 사용하는 것은 아니지만, 모두 동일한 행동을 보이고 동일한 인프라와 통신합니다.
요약
- 'GhostPoster'라는 캠페인이 악성 파이어폭스 확장 프로그램의 이미지 로고에 자바스크립트 코드를 숨겨 브라우저 활동을 모니터링하고 백도어를 설치한다.
- 이 악성 코드는 운영자에게 브라우저에 대한 지속적인 고권한 접근을 허용하여, 제휴 링크를 탈취하고, 추적 코드를 주입하며, 클릭 및 광고 사기를 저지르는 데 사용된다.
- Koi Security 연구원들은 GhostPoster 캠페인을 발견하고, PNG 로고를 읽어 악성 로더를 추출하고 실행하거나 공격자의 서버에서 주요 페이로드를 다운로드하는 17개의 손상된 파이어폭스 확장 프로그램을 확인했다.
- 이 악성 확장 프로그램들은 인기 있는 카테고리에서 나왔으며, 모든 확장 프로그램이 동일한 페이로드 로딩 체인을 사용하는 것은 아니지만, 모두 동일한 행동을 보이고 동일한 인프라와 통신한다.
- 사용자들은 이러한 확장 프로그램을 제거하고, 중요한 계정에 대한 비밀번호를 재설정하는 것을 고려해야 한다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.