Infostealer 크롬 확장 프로그램

보안 분석가들은 Meta Business 환경에서 민감한 데이터를 수집하도록 설계된 악성 Google Chrome 확장 프로그램을 발견했습니다. @CLMasters가 제작한 CL Suite라는 이 확장 프로그램은 Meta Business Suite 및 Facebook Business Manager 사용자를 위한 생산성 도구로 위장하고 있습니다. 비즈니스 데이터 수집, 인증 절차 우회, 2단계 인증(2FA) 코드 생성 기능을 제공하는 유틸리티로 홍보된 이 확장 프로그램은 2025년 3월 1일 Chrome 웹 스토어에 게시되었습니다.

개인정보 보호 정책에서 2FA 비밀번호와 비즈니스 관리자 데이터가 로컬 환경에만 저장된다고 주장하지만, 기술 분석 결과는 정반대입니다. 해당 확장 프로그램은 meta.com 및 facebook.com 도메인에 대한 광범위한 권한을 요청하고, 민감한 정보를 공격자가 제어하는 인프라로 은밀하게 전송합니다.

은밀한 데이터 유출 기능

이 확장 프로그램은 인증된 메타 세션에서 중요 데이터를 은밀하게 수집하고 내보냅니다. 유출된 정보는 getauth[.]pro에 호스팅된 백엔드로 전송되며, 선택적으로 동일한 페이로드를 공격자가 운영하는 텔레그램 채널로 전달하는 메커니즘도 포함되어 있습니다.

이 확장 프로그램의 데이터 수집 기능 전체 범위는 다음과 같습니다.

• Meta 및 Facebook Business 계정 보안에 사용되는 TOTP 시드와 활성 2FA 코드 도난 사건 발생
• 비즈니스 관리자의 '인사 정보'를 추출하여 이름, 이메일 주소, 담당 역할, 권한 수준 및 접근 상태를 포함하는 CSV 파일로 정리했습니다.
• 광고 계정, 관련 페이지, 자산 연결, 청구 구성 및 결제 세부 정보를 포함한 비즈니스 관리자 엔티티 및 연결된 자산의 열거

해당 추가 기능은 비밀번호를 직접 캡처하지는 않지만, 공격자는 탈취한 시간 기반 일회용 비밀번호를 정보 탈취범의 로그 또는 유출된 데이터베이스에서 얻은 자격 증명과 결합하여 무단으로 계정에 접근할 수 있습니다.

보안 연구원들은 설치 기반이 비교적 작더라도 수집된 정보만으로도 고가치 기업 표적을 식별하고 후속 공격을 용이하게 할 수 있다고 경고합니다.

생산성으로 위장한 긁어모으기

CL Suite 사례는 범위가 좁은 브라우저 확장 프로그램이 합법적인 워크플로 개선으로 위장하여 공격적인 데이터 수집을 어떻게 숨길 수 있는지 보여줍니다. 연락처 추출, 분석 데이터 수집, 인증 팝업 차단, 브라우저 내 2단계 인증 생성과 같은 기능은 중립적인 유틸리티가 아닙니다. 오히려 이러한 기능은 인증된 Meta 비즈니스 인터페이스에서 연락처 목록, 메타데이터 및 인증 자료를 직접 빼돌리도록 설계된 특수 목적의 스크래퍼입니다.

이러한 확장 기능은 신뢰할 수 있는 워크플로에 통합됨으로써 사용자의 의심을 우회하고 활성 세션의 보안 경계 내에서 작동합니다.

AiFrame 캠페인: AI 비서가 데이터 대리인으로 변모하다

AiFrame이라는 별도의 조직적인 캠페인을 통해 연구원들은 요약, 채팅, 글쓰기 지원 및 Gmail 생산성 향상을 위한 AI 기반 도우미로 홍보되는 32개의 브라우저 확장 프로그램을 발견했습니다. 이 추가 기능들은 총 26만 건 이상의 설치 수를 기록했습니다.

겉보기에는 합법적인 것처럼 보이지만, 이러한 확장 프로그램은 원격 서버 기반 아키텍처에 의존합니다. 데이터를 로컬에서 처리하는 대신, claude.tapnetic[.]pro 도메인에 연결되는 전체 화면 iframe 오버레이를 삽입합니다. 이러한 설계 덕분에 운영자는 Chrome 웹 스토어를 통해 업데이트를 배포하지 않고도 새로운 기능을 동적으로 추가할 수 있습니다.

배포가 완료되면 이러한 확장 프로그램은 브라우저와 원격 인프라 간의 권한 있는 중개자 역할을 합니다. 실행되면 활성 탭을 검사하고 Mozilla의 Readability 라이브러리를 사용하여 기사 내용을 추출합니다. 추가 기능으로는 음성 인식 시작 및 캡처된 텍스트를 외부 서버로 전송하는 기능이 있습니다.

일부 확장 프로그램은 특히 Gmail을 대상으로 합니다. 사용자가 mail.google.com에 접속하여 AI 기반 답장 또는 요약 기능을 활성화하면, 표시되는 이메일 콘텐츠가 문서 객체 모델(DOM)에서 직접 추출되어 운영자가 관리하는 제3자 백엔드 시스템으로 전송됩니다. 결과적으로 이메일 콘텐츠와 문맥 관련 메타데이터가 사용자가 인지하지 못하는 사이에 Gmail의 보호된 환경을 벗어나 원격 서버로 전송될 수 있습니다.

대규모 확장 프로그램 남용 및 데이터 중개

브라우저 확장 프로그램의 오용은 개별적인 공격에만 국한되지 않습니다. 연구원들은 총 3,740만 번 설치된 287개의 크롬 확장 프로그램을 확인했는데, 이는 전 세계 크롬 사용자 기반의 약 1%에 해당하며, 이러한 확장 프로그램들이 검색 기록을 데이터 브로커에게 유출하는 것으로 나타났습니다.

이전 조사에서는 Similarweb 및 Alexa와 같은 회사들이 수집한 브라우징 데이터를 어떻게 집계하고 수익화하는지 보여주었습니다. 이러한 결과는 확장 프로그램 기반 감시가 얼마나 큰 규모로 이루어질 수 있는지를 강조합니다.

악성 확장 프로그램에 대한 방어력 강화

위협 환경이 점점 악화됨에 따라 조직과 개인 사용자는 체계적인 확장 프로그램 관리 방식을 채택해야 합니다. 효과적인 방어 조치에는 다음이 포함됩니다.

• 공식 마켓플레이스에서 필수적이고 평점이 좋은 확장 프로그램만 설치하세요.
• 설치된 확장 프로그램에 대한 정기적인 감사를 실시하여 과도한 권한이나 비정상적인 동작을 감지합니다.

브라우저 확장 프로그램은 신뢰할 수 있는 세션 내에서 상당한 권한을 가지고 작동합니다. 엄격한 감독이 없다면 데이터 유출 및 자격 증명 탈취의 강력한 통로가 될 수 있습니다.