지난달, 해킹그룹 SharpTongue이 지메일이나 AOL에서 메일 내용을 탈취할 수 있는 Chromium 기반 웹 브라우저의 악성 확장 프로그램을 배포했다. 

이 악성 확장 프로그램은 크롬 웹 스토어를 통해 설치되는 것이 아니라 공격자가 악성코드나 피싱 등 외부적인 공격을 통해 사용자의 PC에 침입한 뒤 설치하는 방식이다. 

PC가 장악되면 공격자는 파워쉘 스크립트를 통해 사용자가 쓰고 있는 브라우저 종류를 확인한다. 그리고 공격자가 만든 개발자 모드의 악성 확장 프로그램을 활성화할 수 있도록 설정을 변경한다. 

이때 보안경고가 발생하도록 되어있지만 파워쉘 스크립트에서 경고창이 발생하는 것을 탐지해 경고 메시지를 사용자에게 보이지 않도록 즉시 숨긴다. 

이후 브라우저에 설치된 악성 프로그램이 사용자의 이메일 데이터를 수집하게 되고, 공격자는 이메일 내부에 있는 중요 정보들을 탈취할 수 있게 되는 것. 

보안기업 Volexity는 이번 공격에 대응하기 위한 룰을 배포했다. 만약 중요 시스템을 운용하고 있다면 이를 적용해 위협을 예방하고 의심스러운 페이지에 접근하거나 신뢰할 수 없는 브라우저 확장 프로그램을 설치하지 않도록 유의해야 한다. 

[정보제공. 스틸리언]

★정보보안 대표 미디어 데일리시큐!★