가짜 Google Docs 오프라인 확장 프로그램

가짜 Google Docs 오프라인 확장 프로그램은 합법적인 도구처럼 보이도록 설계된 악성 브라우저 추가 기능입니다. 신뢰할 수 있는 Google 서비스로 위장했지만, 실제로는 GlassWorm이라는 대규모 사이버 공격 캠페인의 일부입니다. 이 확장 프로그램은 사용자가 직접 설치하는 것이 아니라, 기존 악성코드가 악성 스크립트를 통해 브라우저에 몰래 삽입합니다. 일단 설치되면 정상적인 확장 프로그램과 구별하기 어려워 탐지가 어렵습니다.

연쇄 공격을 통한 은밀한 침투

이 위협은 GitHub 저장소, npm 패키지, 브라우저 확장 프로그램 스토어와 같은 취약한 플랫폼을 악용하는 정교한 연쇄 공격을 통해 확산됩니다. GlassWorm 배후의 사이버 범죄자들은 겉보기에 정상적인 소프트웨어 프로젝트나 업데이트에 악성 코드를 삽입하여 안전해 보이도록 위장합니다.

사용자가 감염된 소프트웨어를 설치하거나 업데이트할 때, 숨겨진 코드가 백그라운드에서 활성화되어 가짜 확장 프로그램을 브라우저에 삽입합니다. 어떤 경우에는 악성코드가 공식적인 업데이트 절차와 매우 유사한 위장된 업데이트 방식을 통해 유포되어 감염 성공 가능성을 더욱 높입니다.

브라우저 활동 전반 감시 및 데이터 수집

일단 설치되면, 이 가짜 확장 프로그램은 원격 관리 트로이목마(RAT)처럼 작동하여 공격자에게 브라우저 활동에 대한 광범위한 제어 권한을 부여합니다. 이 프로그램은 다음과 같은 다양한 민감한 정보를 수집할 수 있습니다.

• 로그인 자격 증명 및 양식 입력을 포함한 키 입력
• 웹사이트의 쿠키 및 활성 세션 데이터
• 활성화된 브라우저 탭의 전체 코드
• 열려있는 페이지의 스크린샷
• 클립보드 내용 및 저장된 책갈피
• 검색 기록(최대 5000개 항목)
• 기기 및 브라우저 세부 정보(하드웨어 및 GPU/WebGL 데이터 포함)
• 설치된 브라우저 확장 프로그램에 대한 정보

수집된 모든 데이터는 묶여서 사이버 범죄자들에게 전송되며, 피해자는 대개 아무런 흔적도 찾을 수 없습니다.

개인 및 기업 보안에 심각한 결과 발생

이 악성 확장 프로그램이 부여하는 접근 권한 수준은 광범위한 민감한 데이터를 위험에 빠뜨립니다. 개인 이메일, 메시지, 문서 및 기타 개인 정보가 노출될 수 있습니다. 특히 온라인 뱅킹 세션, 결제 정보, 브라우저를 통해 접근하는 암호화폐 계정 등 금융 활동이 취약합니다.

공격자는 이 데이터를 악용하여 계정을 탈취하고, 자금을 훔치고, 사용자를 사칭하고, 기타 악의적인 행위를 수행할 수 있습니다. 업무용 기기에 설치될 경우, 그 영향은 기업 전체의 보안 침해로 이어져 내부 시스템과 기밀 비즈니스 데이터가 손상될 수 있습니다.

브라우저 관리 제어 기능의 오용

이 확장 프로그램은 스파이 기능 외에도 브라우저의 '조직에서 관리' 기능을 조작합니다. 일반적으로 이 설정은 회사 환경과 같이 공식 관리자가 브라우저를 관리하고 있음을 나타냅니다.

악성 프로그램은 이 기능을 악용하여 사용자 제어를 제한하고, 일반적인 제거 방법을 차단하며, 브라우저 설정 접근을 제한할 수 있습니다. 이러한 전략을 통해 악성 확장 프로그램은 지속성을 유지하고 장기간 탐지되지 않고 숨어 지낼 수 있습니다.

지속적이고 위험성이 높은 위협

가짜 Google Docs 오프라인 확장 프로그램은 위장 기능을 통해 사용자 활동을 감시하고 매우 민감한 데이터를 탈취할 수 있어 심각한 사이버 보안 위험을 초래합니다. 은밀한 설치 방식과 지속적인 저장 메커니즘 때문에 특히 위험합니다.

만약 해당 확장 프로그램과 관련된 악성 구성 요소가 발견되면, 지속적인 데이터 도난 및 잠재적인 장기적인 보안 침해를 방지하기 위해 즉시 제거해야 합니다.