브라우저 확장 프로그램의 악행: 고스트포스터 캠페인의 전모

지난달, 연구원들은 코이 시큐리티 그들은 악성 파이어폭스 확장 프로그램에 대한 자세한 분석 결과를 발표했는데, 그 확장 프로그램의 이름은 다음과 같습니다. 고스트포스터 - 특이하고 은밀한 페이로드 전달 방식을 활용하는 브라우저 기반 악성 소프트웨어: PNG 아이콘 파일 내의 스테가노그래피이 혁신적인 접근 방식 덕분에 악성 소프트웨어는 기존의 확장 프로그램 보안 검토 및 정적 분석 도구를 회피할 수 있었습니다.
해당 논문 발표 이후, 저희 조사에서는 다음과 같은 사실을 확인했습니다. 17개의 추가 확장 동일한 인프라 및 전술, 기술, 절차(TTP)와 연관되어 있습니다. 이러한 확장 프로그램들은 총칭하여 다운로드되었습니다. 840,000 번 이상그리고 일부는 야생에서 여전히 활동하고 있습니다. 최대 XNUMX년.
기술 개요: 다단계 회피 및 탑재체 전달
GhostPoster 악성코드는 은밀성과 지속성을 위해 설계된 다단계 감염 과정을 사용합니다.
- 페이로드 인코딩초기 로더는 확장 프로그램의 PNG 아이콘의 바이너리 데이터 내에 포함되어 있습니다.
- 런타임 추출설치 시 확장 프로그램은 아이콘을 분석하여 숨겨진 데이터를 추출하는데, 이는 일반적인 확장 프로그램 로직과는 다른 동작입니다.
- 지연된 활성화악성 프로그램은 실행을 지연시킵니다. 48 시간 이상또한 특정 조건에서만 C2 통신을 시작합니다.
- 페이로드 회수추출된 로더는 원격 C2 서버에 접속하여 추가적인 자바스크립트 기반 페이로드를 다운로드합니다.
활성화 후, 악성 소프트웨어는 다음과 같은 기능을 수행할 수 있습니다:
- HTTP 헤더 제거 및 삽입 웹 보안 정책(예: CSP, HSTS)을 약화시키기 위해.
- 제휴 트래픽 탈취 수익 창출을 위해.
- iframe 및 스크립트 삽입 클릭 사기 및 사용자 추적을 위해서입니다.
- 프로그래밍 방식의 CAPTCHA 해결 또한 제어 범위를 확장하기 위해 추가적인 악성 스크립트를 삽입합니다.
이러한 특징들은 이번 작전이 단순히 금전적 동기에서 비롯된 것이 아니라 기술적으로도 성숙했으며, 작전의 은밀성과 장기적인 지속성을 강조하고 있음을 보여줍니다.
인프라 및 위협 원인 규명
Koi Security가 발견한 인프라는 17개의 Firefox 확장 프로그램과 연관되어 있었으며, 이들 모두 유사한 난독화 패턴, C2 동작, 지연 실행 전략을 공유했습니다. 당사의 자동화된 확장 프로그램 악성코드 분석 기능은 동일한 위협 행위자 인프라가 다른 플랫폼의 확장 프로그램 배포에도 사용되었음을 확인했습니다. Google Chrome 및 Microsoft Edge 추가 기능 스토어저희 분석에 따르면 캠페인은 다음과 같습니다. Microsoft Edge 브라우저에서 시작되었습니다.이후 파이어폭스와 크롬으로도 확장되었습니다.
그림 1. GhostPoster의 브라우저 확장 프로그램 스토어 업로드
중요한 발견들:
- 17건의 연장 확정인프라 중복 및 공통 로더 패턴을 가지고 있습니다.
- 누적 설치 건수 840,000만 건 이상 추가 Firefox, Chrome 및 Edge 브라우저에서 모두 동일하게 적용됩니다.
- 2020년부터 악의적인 존재가 감지됨이는 모든 주요 브라우저 스토어의 보안 검사를 우회하여 장기적인 운영 성공을 의미합니다.
- 대체 전달 메커니즘을 사용하는 변형이는 지속적인 실험과 적응을 시사합니다.
확장된 변이 분석: 백그라운드 스크립트 기반 페이로드 스테이징
이전에 확인된 확장 프로그램 외에도, 동일한 캠페인과 관련된 더욱 정교하고 회피적인 변종이 발견되었으며, 이 변종만으로도 3,822건의 설치가 발생했습니다.
그림 2. 스토어에서 다운로드 가능한 Firefox 확장 프로그램.
이번 버전에서는 악성 로직이 백그라운드 스크립트 내에 삽입되어 있으며, 확장 프로그램 안에 포함된 이미지 파일을 은밀한 페이로드 컨테이너로 활용합니다. 런타임 시 백그라운드 스크립트는 해당 이미지를 가져와서 원시 바이트 시퀀스에서 구분자를 검색합니다. [62,62,62,62] - ASCII 문자열에 해당 '>>>>'이 마커 이후의 모든 데이터는 텍스트로 디코딩되어 instlogo 키 아래의 chrome.storage.local에 영구적으로 저장됩니다.
그림 3. .png 콘텐츠 읽기, 디코딩 및 로컬 저장소에 저장.
저장된 데이터는 나중에 검색되어 Base64로 디코딩된 후 추가적인 JavaScript 페이로드로 동적으로 실행됩니다.
그림 4. 디코딩된 .png 페이로드.
이 보조 스크립트는 네트워크 활동을 시작하기 전에 약 5일 동안 대기하여 추가적인 회피 기법을 사용합니다. 활성화되면 원격 서버에서 콘텐츠를 가져오고 서버에서 제공하는 데이터를 추출하여 저장합니다. Base64로 인코딩된 키디코딩된 콘텐츠를 실행하여 지속적인 페이로드 업데이트 및 확장된 제어를 가능하게 합니다.
그림 5. PNG 페이로드 - 로컬 저장소에서 읽어와 다음 단계 디코딩.
이러한 단계별 실행 흐름은 더 긴 휴면 기간, 모듈성, 그리고 정적 및 행동적 탐지 메커니즘 모두에 대한 복원력으로의 명확한 진화를 보여줍니다.
제압 후 지속성
모질라와 마이크로소프트는 각각의 스토어에서 알려진 악성 확장 프로그램을 제거했지만, 사용자 시스템에 이미 설치된 확장 프로그램은 계속 활성화된 상태로 유지됩니다. 사용자가 명시적으로 삭제하지 않는 한, 이러한 지속성은 특히 지연 활성화 및 모듈형 페이로드 전달 방식을 사용하는 악성코드의 경우, 스토어 폐쇄가 차단 전략으로서 한계가 있음을 보여줍니다.
IOC
| ID | 이름 | 설치하는 방법 |
| maiackahflfnegibhinjhpbgeoldeklb |
페이지 스크린샷 클리퍼 |
86 |
| kjkhljbbodkfgbfnhjfdchkjacdhmeaf |
전체 페이지 스크린 샷 |
2,000 |
| ielbkcjohpgmjhoiadncabphkglejgih |
모든 것을 변환하세요 |
17,171 |
| 오보크팡팜크프jllmcfnieeoacoheda |
선택한 텍스트를 Google 번역으로 번역 |
159,645 |
| dhnibdhcanplpdkcljgmfhbipehkgdkk |
유튜브 다운로드 |
11,458 |
| gmciomcaholgmklbfangdjkneihfkddd |
RSS 피드 |
2,781 |
| fbobegkkdmmcnmoplkgdmfhdlkjfelnb |
Ads Block Ultimate |
48,078 |
| 온로포카엔llpjmalbnilfacjmcfhfk |
AdBlocker |
10,155 |
| bmmchpeggdipgcobjbkcjiifgjdaodng |
컬러 강화제 |
712 |
| knoibjinlbaolannjalfdjiloaadnknj |
플로팅 플레이어 - PiP 모드 |
40,824 |
| 지힙엠프믹제이프브프모세아프프제이미그멤팜 |
원 키 번역 |
10,785 |
| ajbkmeegjnmaggkhmibgckapjkohajim |
멋진 커서 |
2,254 |
| fcoongackakfdmiincikmjgkedcgjkdp |
마우스 오른쪽 버튼을 클릭하여 Google 번역을 실행하세요. |
522,398 |
| fmchencccolmmgjmaahfhpglemdcjfll |
마우스 오른쪽 버튼을 클릭하여 선택한 텍스트를 번역합니다. |
283 |
| 아마존 가격 변동 내역 |
아마존 가격 변동 내역 |
1,197 |
이미지를 핀터레스트에 저장 |
마우스 오른쪽 버튼을 클릭하여 이미지를 Pinterest에 저장하세요. |
6,517 |
인스타그램 다운로드 |
인스 타 그램 다운로더 |
3,807 |
TTP
| 술책 | 기술 |
| 방어 회피 | LX7.011 (T1036) - 가장무도회 |
| 방어 회피 | LX7.003 (T1140) - 코드 난독화/난독화 해제 |
| 방어 회피 | LX7.004 (T1678) - 실행 지연 |
| 방어 회피 | LX7.005 - 서버 측 검사를 회피합니다 |
| 발견 | LX9.005 (T1217) - 브라우저 정보 검색 |
추천
보안 전문가, 기업 보안 담당자 및 브라우저 개발자는 다음과 같은 조치를 취해야 합니다.
- 감사 확장 관리되는 환경, 특히 정책 제어 외부에 설치된 환경에서.
- 배포 행동 기반 확장 모니터링 기술 무단 네트워크 활동이나 의심스러운 DOM 조작을 감지하기 위해.




