[Security] ModHeader 확장 프로그램, 악성코드로 판단되어 스토어에서 내려가

You are currently viewing [Security] ModHeader 확장 프로그램, 악성코드로 판단되어 스토어에서 내려가
크롬 확장 프로그램 보안 경고 이미지 - Created by Gemini

치횟수 160만 회 이상을 가진 유명한 크로미움 확장 프로그램 중 하나인 “ModHeader”가 최근 악성코드로 진단을 받고

Google 및 Microsoft Extension Store 에서 제거가 되었다.

 

ModHeader는 HTTP 요청 및 응답 헤더를 수정시키는 크로미움 브라우저 계열의 확장 프로그램 중 하나로

인터넷 통신 프로토콜을 브라우저 단에서 변형시켜서 사이트 테스트를 하거나 하는 등

여러 방면으로 사용할 수 있는 확장 프로그램이다.

 

Microsoft Edge 에서 강제로 사용중단된 ModHeader 확장 프로그램
Microsoft Edge 에서 강제로 사용중단된 ModHeader 확장 프로그램

 

이러한 프로그램은 그 특성상 어느 사이트의 요청 및 응답을 수정할지 몰라 모든 사이트의 접근을 허용하는

권한을 요청할 수 밖에 없게 된다.

 

반대로 그러한 행위 자체는 악의적인 행위도 수행시킬 수 있었다는 점이 문제였다.

이런 형태는 대부분 공급망 공격으로 신뢰할 수 있을법한 곳을 역으로 공략하여

정상적인 것처럼 위장을 할 수 있다는점이 특징이 되겠다.

 

 

문제가 발생한 버전은 ModHeader 7.0.18으로

Chrome 에서는 idgpnmonknjnojddfkpgkljpfnnfcklj

Edge 에서는 opgbiafapkbbnbnjcdomjaghbckfkglc

으로 확장 프로그램 ID(Extension ID)가 부여되어있다.

 

해당 악성코드는 특정한 URL 주소로 POST 전송을 통해

사용자가 방문하는 도메인을 수집 후 AES-GCM 암호화 후 데이터를 보냈다.

 

도메인 : https://api.stanfordstudies[.]com/app/log (3.147.61[.]167 / Amazon Technologies Inc. / AS16509)

악성 페이로드 : dayjs.min-[임의의 hash값].js

실제 악성행위 수행 : background-[임의의 hash값].js

 

Payload

우선 해당 확장프로그램에서 background-158180d4.js 파일이 날짜 스크립트로 위장한 파일을 import 시킨다.

 

 

payload 된 dayjs.min-6a736ee8.js코드 중 일부는 다음과 같다.

 

그 다음 실제 악성 행위는 background-158180d4.js에서 다음과 같은 악성행위를 수행할 수 있었다.

 

cl함수를 참고해 $w배열에 존재하는지 본다.

 

기기마다 고유한 핑거프린트 값을 설정 후

 

특정 시간 난수 조건에 맞춰서 불특정하게 API POST 호출을 요청시킨다.

 

하드코딩된 $w조건이 떨어지는 경우

 

방문한 도메인을 기록한다.

 

결론

다행히 해당 악성 확장 프로그램 자체가 특정 URL로 업로드를 수행했던것인가에 대해서는 아닌것으로 보인다.

$w = [];키 값이 매핑되어야만 동작하지만 차단되기 전까지 버전인 7.0.18 까지도 여전히 $w값은 아직 값이 할당되지 않았기 때문이다.

 

또한 RCE나 eval악용, new Function, import방식도 확인되지는 않았다.

즉, 자격증명 수집을 위한 로커 데이터 수집까지는 가능했으나 외부로 유출 가능한 패턴이 확인되지는 않았던 것으로 보인다.

다만 이 확장프로그램은 계속 로컬에 방문기록을 저장해놓고 언제든지 공급망에서 업데이트를 통해 $w값이 수정이 되는 순간 방대한 데이터가

수집이 되었을 것을 고려하면 비정상적인 형태로 데이터를 수집한 ModHeader 확장 프로그램은 악성행위를 충분히 수행한다고 보고 있으며

제거가 필요하다고 권장하고 있다.

 

여담이지만 아직까지는 이 ModHeader 의 도메인 수집에 대해서

어느 그룹이 배후인지 등에 대해서는 밝혀진 정보가 없다고 얘기하고 있다.

 

 

내용 참고 : ModHeader Malware: Inside the Chrome Spyware Google Removed – HackIndex