뉴스로 돌아가기
속보

'스탠리' MaaS, 크롬 웹 스토어 보안 우회하며 악성 확장 프로그램 유포 보장

3분 읽기출처: BleepingComputer

새로운 Malware-as-a-Service '스탠리'가 크롬 웹 스토어 검토 프로세스를 우회하는 악성 확장 프로그램을 유포하며 사용자와 기업에 심각한 위협을 가하고 있습니다.

사이버 범죄자들, 크롬 웹 스토어를 표적으로 한 '스탠리' Malware-as-a-Service 출현

최근 발견된 Malware-as-a-Service(MaaS) 운영인 **'스탠리(Stanley)'**는 위협 행위자들이 구글의 검토 프로세스를 우회하여 공식 Chrome Web Store에 악성 크롬 확장 프로그램을 게시할 수 있도록 지원하고 있습니다. 이 서비스는 피싱을 목적으로 한 확장 프로그램의 유포를 보장하며, 사용자와 조직에 중대한 위험을 초래하고 있습니다.

기술적 세부 사항

연구진에 따르면, 스탠리는 구독 기반 MaaS 모델로 운영되며, 사이버 범죄자들에게 구글의 자동화 및 수동 검토 프로세스에서 탐지를 회피하도록 설계된 사전 제작된 악성 크롬 확장 프로그램을 제공합니다. 이러한 확장 프로그램은 피싱 공격을 수행하여 로그인 자격 증명, 금융 정보, 세션 쿠키 등 민감한 데이터를 탈취하도록 설계되었습니다.

스탠리 MaaS의 주요 특징은 다음과 같습니다:

  • 회피 기법(Evasion Techniques): 확장 프로그램은 합법적인 기능으로 위장하면서 동적 코드 로딩(dynamic code loading)이나 지연 실행(delayed execution)과 같은 악성 행위를 숨깁니다.
  • 지속성 메커니즘(Persistence Mechanisms): 일부 변종은 브라우저 재시작이나 업데이트 후에도 접근을 유지하기 위한 기법을 사용합니다.
  • 표적 피싱(Targeted Phishing): 확장 프로그램은 기업 사용자 및 금융 기관 등 고가치 표적의 자격 증명을 탈취하도록 맞춤 제작됩니다.

현재 보고 시점에서, 이러한 확장 프로그램에 악용된 취약점에 대한 특정 CVE ID는 할당되지 않았습니다. 그러나 스탠리 MaaS는 특히 난독화(obfuscated) 또는 시간 지연(time-delayed) 악성 페이로드를 탐지하는 데 있어 크롬 웹 스토어 검토 메커니즘의 중요한 격차를 드러내고 있습니다.

영향 분석

스탠리의 출현은 기술적 전문성이 부족한 사이버 범죄자들에게 진입 장벽을 낮추는 MaaS 제공의 고도화된 성장을 보여줍니다. 명백히 신뢰할 수 있는 플랫폼인 크롬 웹 스토어에 악성 확장 프로그램을 게시할 수 있다는 점은 다음과 같은 대규모 피싱 캠페인의 위험을 증폭시킵니다:

  • 기업 사용자: 기업 자격 증명 및 내부 시스템이 손상되어 데이터 유출이나 네트워크 내 횡적 이동(lateral movement)으로 이어질 수 있습니다.
  • 개인 사용자: 은행 및 이메일 계정 등 개인 계정이 자격 증명 탈취 및 금융 사기의 위험에 노출됩니다.
  • 개발자: 개발자가 악성 확장 프로그램을 무심코 설치할 경우, 합법적인 소프트웨어와 번들로 제공될 경우 공급망 공격(supply chain attacks)으로 이어질 수 있습니다.

구글의 크롬 웹 스토어는 30억 명 이상의 크롬 사용자라는 방대한 사용자 기반으로 인해 역사적으로 위협 행위자들의 주요 표적이었습니다. 구글은 위험을 완화하기 위해 자동화된 스캐닝 및 수동 검토를 사용하지만, 스탠리 MaaS는 결연한 공격자들이 여전히 프로세스의 격차를 악용할 수 있음을 보여줍니다.

보안팀을 위한 권장 사항

악성 크롬 확장 프로그램과 관련된 위험을 완화하기 위해 보안 전문가들은 다음을 수행해야 합니다:

  1. 확장 프로그램 정책 시행: 특히 기업 환경에서 크롬 확장 프로그램 설치를 사전 승인된 목록으로 제한합니다. 이러한 제한을 시행하기 위해 그룹 정책(Group Policy) 또는 Chrome Enterprise Policy를 사용합니다.

  2. 이상 징후 모니터링: 비인가 데이터 유출이나 악성 도메인으로의 네트워크 연결과 같은 비정상적인 확장 프로그램 동작을 모니터링하기 위해 엔드포인트 탐지 및 대응(EDR) 솔루션을 배포합니다.

  3. 사용자 교육: 사용자들이 피싱 시도와 크롬 웹 스토어에서도 검증되지 않은 확장 프로그램 설치의 위험을 인식하도록 보안 인식 교육을 실시합니다.

  4. 위협 인텔리전스 활용: 악성 확장 프로그램 및 MaaS 운영을 추적하는 위협 인텔리전스 피드에 가입합니다. 손상 지표(IOC)를 산업 동료들과 공유하여 집단 방어력을 향상시킵니다.

  5. 정기 감사: 조직 내 장치에 설치된 확장 프로그램을 주기적으로 감사하여 승인되지 않거나 의심스러운 애드온을 식별하고 제거합니다.

  6. 의심스러운 확장 프로그램 신고: 사용자들이 구글의 크롬 웹 스토어 신고 도구를 통해 악성 행위를 보이는 확장 프로그램을 신고하도록 장려합니다.

결론

스탠리 MaaS 운영은 사이버 범죄자들이 크롬 웹 스토어와 같은 신뢰할 수 있는 플랫폼을 악용하여 악성코드를 배포하는 진화하는 위협 환경을 강조합니다. 보안팀은 이러한 정교한 공격을 방어하기 위해 기술적 제어, 사용자 교육, 위협 인텔리전스를 결합한 사전 예방적 접근 방식을 채택해야 합니다. 구글이 검토 프로세스를 지속적으로 개선함에 따라, 조직은 사용자와 데이터를 피싱 및 자격 증명 탈취로부터 보호하기 위해 경계심을 유지해야 합니다.

공유

TwitterLinkedIn