정보보안 스터디 - 35주차 7일 - shampoo 크롬 악성 extension

 

샴푸 chromeloader 캠페인이 진행중입니다.

기능은 search hijakcer 그리고 adware입니다.

 

 

무료 소프트웨어 파일 다운로드 사이트에서 심어두고

피해자 입장에서는 불법다운로드를 하기 위해 설치에 의심의 여지가 없었습니다.

 

HP threat research team에 따르면 2023년 3월부터 진행되었다고 합니다.

chromeloader 캠페인 자체는 2022년 2월부터 시작해서

비디오 게임 등으로 파일을 배포해갔습니다.

 

 

브라우저 extension 

공격자는 금전적인 이유로 성인 채팅, 무료 선물, unwanted software 등의 사이트로 광고 리다이렉트 되도록 해놨습니다.

 

 

powershell스크립트를 다운로드 받고 registery에 등록하며 그 다음 악성 echrome extension을 다운받는 구조입니다.

 

레지스트리에 저장해놓거나

스케줄 task에 "chrome_" 이름으로 둡니다.

삭제가 되어도 재부팅 시 다시 재빨리 삭제하고 다운받는 구조로 persistence 구현했습니다.

 

어떤 사람들은 크게 영향이 없다고 하지만

이렇게 제 때 제거해주지 않는다면 ransomeware를 심거나, 더 심각한 공격을 할 수가 있습니다.