
양의 탈을 쓴 늑대: 위조된 Chrome 확장 프로그램의 도난 분석
저자: 산, Thinking, 만무 보안 팀
배경
2024년 3월 1일, 트위터 사용자 @doomxbt는 자신의 바이낸스 계정에 이상 징후가 발생했으며 자금이 도난당한 것으로 추정된다고 보고했습니다.

(https://x.com/doomxbt/status/1763237654965920175)
처음 이 사건은 큰 주목을 받지 못했지만, 2024년 5월 28일 트위터 사용자 @Tree_of_Alpha는 피해자 @doomxbt가 Chrome 웹 스토어에서 많은 긍정적인 평가를 받은 악성 Aggr 확장 프로그램을 설치한 것으로 의심된다고 분석했습니다. 이 확장 프로그램은 사용자가 방문하는 웹사이트의 모든 쿠키를 탈취할 수 있으며, 2개월 전에는 인플루언서들에게 돈을 주고 이를 홍보하게 한 정황도 있었습니다.

(https://x.com/Tree_of_Alpha/status/1795403185349099740)
최근 며칠 사이 이 사건에 대한 관심이 높아졌으며, 일부 피해자의 로그인 인증 정보가 탈취되어 해커가 이를 이용해 대량 거래(대칭 거래) 방식으로 암호화폐 자산을 유출한 것으로 확인되었습니다. 많은 사용자들이 만무 보안 팀에 이 문제에 대해 문의하고 있습니다. 이번 글에서는 해당 공격 사례를 구체적으로 분석하여 암호화 커뮤니티에 경각심을 심어드리고자 합니다.
분석
우선, 우리는 이 악성 확장 프로그램을 찾아야 합니다. 이미 Google에서 해당 확장 프로그램을 삭제했지만, 스냅샷 정보를 통해 일부 과거 데이터를 확인할 수 있습니다.

다운로드 후 분석 결과, 디렉토리 내 JS 파일은 background.js, content.js, jquery-3.6.0.min.js, jquery-3.5.1.min.js로 구성되어 있습니다.
정적 분석 과정에서 background.js와 content.js는 복잡한 코드나 명백한 의심스러운 로직이 많지 않았지만, background.js 내에서 특정 사이트 링크를 발견했으며, 이 플러그인이 수집한 데이터를 https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php로 전송한다는 사실을 확인했습니다.

manifest.json 파일을 분석하면 background가 /jquery/jquery-3.6.0.min.js를 사용하고, content가 /jquery/jquery-3.5.1.min.js를 사용하고 있음을 알 수 있습니다. 따라서 우리는 이 두 개의 jquery 파일에 집중하여 분석합니다.

jquery/jquery-3.6.0.min.js 내에서 의심스러운 악성 코드를 발견했습니다. 이 코드는 브라우저 내 쿠키를 JSON 형식으로 처리한 후 site : https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php로 전송합니다.

정적 분석 이후, 악성 확장 프로그램의 데이터 전송 동작을 보다 정확하게 분석하기 위해 확장 프로그램의 설치 및 디버깅을 진행했습니다. (주의: 완전히 새로운 테스트 환경에서 분석해야 하며, 어떠한 계정도 로그인하지 않아야 하며, 악성 사이트를 자신이 제어 가능한 서버로 변경하여 테스트 중 민감한 데이터가 공격자 서버로 전송되는 것을 방지해야 합니다.)
테스트 환경에 악성 확장 프로그램을 설치한 후 google.com과 같은 임의의 웹사이트를 열고, 확장 프로그램의 background에서 네트워크 요청을 관찰한 결과, Google의 쿠키 데이터가 외부 서버로 전송되는 것을 확인했습니다.

또한 Weblog 서비스에서도 악성 확장 프로그램이 전송한 쿠키 데이터를 확인할 수 있었습니다.

이제 공격자가 사용자의 인증 정보 및 자격 증명 등을 확보한다면, 브라우저 확장 프로그램을 통해 쿠키를 탈취하여 거래소 웹사이트 등에서 대칭 거래 공격을 수행함으로써 사용자의 암호화폐 자산을 도난할 수 있습니다.
다시 한번, 데이터를 회수하는 악성 링크 https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php를 분석해봅니다.
관련 도메인: aggrtrade-extension[.]com

위 도메인 정보 분석:

.ru는 전형적인 러시아어권 사용자를 나타내므로, 대부분의 가능성이 러시아 또는 동유럽 해커 그룹입니다.
공격 타임라인:
정품 AGGR(aggr.trade)를 모방한 악성 사이트 aggrtrade-extension[.]com을 분석한 결과, 해커들은 3년 전부터 공격을 기획해온 것으로 드러났습니다.


4개월 전, 해커가 공격을 배포했습니다.



InMist 위협 인텔리전스 협력 네트워크를 통해 확인한 결과, 해커의 IP는 모스크바에 위치하며, srvape.com에서 제공하는 VPS를 사용하고 있으며, 이메일 주소는 [email protected]입니다.

배포가 성공한 후, 해커는 트위터를 통해 적극적으로 홍보를 시작하며 피해자를 유인했습니다. 이후 일어난 일은 모두가 아는 바와 같습니다. 일부 사용자들이 악성 확장 프로그램을 설치했고, 결국 자산을 도난당했습니다.
아래는 AggrTrade의 공식 경고 메시지입니다.

요약
만무 보안 팀은 모든 사용자에게 경고합니다. 브라우저 확장 프로그램의 위험성은 실행 파일(.exe 등)을 직접 실행하는 것과 거의 동일하므로 설치 전 반드시 철저히 검토해야 합니다. 또한, 당신에게 DM을 보내는 사람들을 조심하세요. 현재 해커들과 사기범들은 자주 합법적이고 유명한 프로젝트를 가장하여 후원이나 홍보라는 명목으로 콘텐츠 크리에이터들을 대상으로 사기를 시도하고 있습니다. 마지막으로, 블록체인의 어두운 숲 속을 걸을 때는 항상 의심하는 자세를 유지하고, 설치하는 모든 것이 안전한지 확인하여 해커에게 기회를 주지 말아야 합니다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News










