페이스북 계정을 노리는 공격 캠페인이 발견됐다. 공격자들은 요즘 한창 인기를 높이고 있는 챗GPT를 테마로 한 악성 플러그인을 설치하도록 유도해 페이스북 계정 정보를 노리고, 페이스북 관리자 모드에까지 도달한다.
[보안뉴스 문가용 기자] 대규모 페이스북 계정 탈취 사건이 발생했다. 공격자들은 크롬 챗GPT 브라우저 플러그인들을 활용하여 이번 주 초까지 공격을 실시했으며 이 과정을 통해 기업용 계정을 포함해 수천~수만 개의 계정들을 확보해 간 것으로 추정된다. 해당 플러그인은 공식 크롬 스토어에서도 다운로드 및 설치가 가능한 상태였다.
![[보안뉴스 / 3.13.] 챗GPT 테마로 삼은 악성 플러그인, 페이스북 계정 탈취해](http://www.boannews.com/media/upFiles2/2023/03/710087295_8259.jpg)
[이미지 = utoimage]
보안 업체 가디오(Guardio)는 이번 주 분석을 통해 챗GPT라는 인공지능 기술과 관련되어 있는 크롬 브라우저용 플러그인에 문제가 있음을 알아냈다고 발표했다. 문제의 플러그인은 Quick Access to ChatGPT였고, 누구나 크롬 브라우저를 통해 챗GPT를 간편하고 빠르게 이용할 수 있는 플러그인으로 소개가 됐었다. 하지만 이 플러그인은 브라우저에서 갖가지 정보를 훔쳐내고, 피해자의 페이스북 계정의 최고 관리자(super-admin) 권한을 가져가는 기능을 가지고 있었다.
Quick Access to ChatGPT 플러그인이 챗GPT의 인기를 악용하려는 최초의 시도라고 하기는 어렵다. 사람이 몰리는 곳에 해커들이 몰린다고, 공격자들은 이미 여러 가지 방법으로 챗GPT의 인기를 자신들에게 유리한 쪽으로 악용하는 중이다.
가짜 챗GPT 랜딩 페이지를 만들고 회원가입을 유도한 사례의 경우, 피해자들은 포보(Fobo)라는 트로이목마가 설치되는 피해를 입었다. 여러 보안 업체들에서 최근 챗GPT를 테마로 한 피싱 이메일이 급증하고 있다고 발표하고 있고, 윈도와 안드로이드 생태계에서 가짜 챗GPT 앱들이 점점 불어나고 있기도 하다.
기업용 페이스북 계정을 노리다
가디오의 분석에 의하면 Quick Access to ChatGPT(이하 ‘퀵액세스’)는 실제로 챗GPT에 빠르게 접속 및 접근하게 해 주는 기능을 가지고 있다고 한다. 즉 공격자들이 완전히 거짓말을 하고 있는 건 아니라는 뜻이다. “다만 쿠키, 보안 토큰 등 브라우저에 저장된 각종 정보를 훔쳐가고 있다는 특성은 개발자들이 크롬 웹 스토어에 명시하지 않고 있죠. 사용자들에게 약속한 기능을 제공함으로써 뒤에서 일어나는 악성 행위를 숨기는 수법이죠.”
퀵액세스가 설치된 브라우저를 통해 피해자가 로그인을 함으로써 인증 세션을 활성화시킨다면, 퀵액세스는 메타(Meta)의 그래프 API(Graph API)에 접근하기 시작한다. 이 API는 메타가 개발자들을 위해 만든 것으로, 공격자들은 이를 통해 피해자의 페이스북 계정과 관련된 모든 데이터를 수집할 수 있게 된다. 뿐만 아니라 사용자가 할 수 있는 다른 여러 행위를 사용자가 하는 것처럼 할 수도 있게 된다. 하지만 여기서 끝이 아니다.
“페이스북 생태계에서 유통되는 애플리케이션들이란, 대부분 메타가 만든 API를 활용해도 된다는 승인이 떨어진 SaaS 서비스입니다. 그러므로 공격자가 사용자의 계정을 통해 앱을 하나 등록하는 데 성공할 경우 피해자의 페이스북 계정의 관리자 모드에 돌입할 수 있게 됩니다. 별도의 크리덴셜을 훔칠 필요도 없고요. 심지어 페이스북의 이중인증을 우회하려 하지 않아도 됩니다.” 가디오의 설명이다.
그런데 퀵액세스가 이러한 악성 행위를 이어가다가 비즈니스용 페이스북 계정을 찾아냈다면, 해당 계정과 관련된 모든 정보를 빠르게, 집중적으로 훔쳐낸다. 현재 해당 계정에서 진행하는 프로모션, 남은 계정 크레딧, 빌링 관련 정보 등이 C&C 서버로(즉, 공격자에게로) 넘어간다.
금전적 이득을 추구하는 사이버 범죄자들
가디오는 “공격자들이 이렇게 모은 페이스북 계정 정보를 다크웹에서 경매와 같은 방식으로 판매하려 할 것”이라고 예상하고 있다. “혹은 수집한 페이스북 계정을 활용해 봇 군대를 만들 수도 있습니다. 이 봇넷을 통해 피해자의 페이스북 계정으로 결제를 해서 광고 슬롯을 하나 구매한 후, 악성 광고 캠페인을 벌일 수도 있습니다.”
가디오는 이번에 발견된 악성 플러그인이 “API 페이스북의 보안 장치를 우회하는 매커니즘을 보유하고 있다”고 설명하기도 한다. “예를 들어 페이스북이 자사 API에 대한 접근 권한 요청을 받았다고 했을 때, 페이스북 보안 장치는 제일 먼저 그 요청을 보낸 게 인증된 사용자라는 것과 로그인 및 요청과 관련된 모든 메타데이터가 정상인지를 확인합니다. 그래서 공격자는 퀵액세스에 코드를 한 줄 추가했습니다. 피해자의 브라우저에서 페이스북 웹사이트로 전달되는 모든 요청들의 헤더들을 변경해 피해자가 요청을 보내는 것처럼 보이게 하는 내용을 담고 있습니다.”
이렇게 함으로써 퀵액세스 배후에 있는 공격자들은 그 어떤 흔적도 남기지 않고 피해자의 브라우저를 사용해 페이스북 페이지를 자유롭게 탐색할 권한을 갖게 된다. 뿐만 아니라 API 호출과 같은 각종 행위들을 수행하는 것도 가능하다. 가디오는 “꽤나 영리하게 만들어진 고급 악성 플러그인”이라고 퀵액세스에 대해 표현했다.
3줄 요약
1. 크롬 웹 스토어에 등장한 챗GPT 관련 플러그인.
2. 쉽고 빠르게 챗GPT를 사용할 수 있게 해 주기도 하지만 브라우저에서 많은 정보를 수집하기도 함.
3. 특히 페이스북 계정을 훔쳐내고 장악하는 게 이 공격의 목표.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 3.27.] 아시아 최대 규모 통합보안 전시회 SECON & eGISEC 2023, 3월 29~31일 개최](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-28-171550-500x383.png)
![[보안뉴스 / 3.27.] 폰투온에서 이틀 연속 뚫린 테슬라 모델 3, 연구자들은 35만 달러 상금 획득](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-28-161942-500x383.png)
![[보안뉴스 / 3.27.] 새로 나타난 다크파워 랜섬웨어, 한 달 만에 10개 조직 침해](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-28-161658-500x383.png)
![[보안뉴스 / 3.13.] 챗GPT 테마로 삼은 악성 플러그인, 페이스북 계정 탈취해](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
