페이스북 계정 훔치는 악성 챗GPT 크롬 확장 프로그램 등장

'퀵 액세스 투 챗GPT', 페이스북 앱에 백도어 설치…현재 크롬 스토어에서 삭제

컴퓨팅입력 :2023/03/13 10:56

페이스북 계정을 탈취하고 백도어를 설치하는 악성 변종 챗GPT 크롬 확장 프로그램이 등장했다.

사이버보안 업체 가디오(Guardio)는 최근 구글 크롬용 악성 챗GPT 확장 프로그램이 페이스북 계정을 탈취하고 백도어를 설치하는 것을 발견했다고 밝혔다.

가디오에 따르면, '퀵 액세스 투 챗GPT(Quick access to Chat GPT)'라는 악성 챗GPT 확장 프로그램은 페이스북 후원 게시물에서 '브라우저에서 바로 챗GPT를 시작할 수 있는 빠른 방법'으로 홍보되고 있는 것으로 알려졌다.

악성 GPT 확장 프로그램으로 연결되는 페이스북의 악성 스폰서 게시물. (사진=가디오)

이 악성 확장 프로그램은 공식 챗GPT의 API에 연결하면 해당 기능을 제공하긴 하지만, 브라우저에서 가져올 수 있는 모든 정보를 수집하고 사용자가 보유한 모든 서비스에 대해 승인된 활동 세션의 쿠키를 훔치고, 맞춤형 전술을 사용해 페이스북 계정을 탈취하는 것으로 밝혀졌다.

가디오는 "위협 행위자는 탈취한 데이터 소유권을 확보한 후에, 가장 높은 가격을 제시한 구매자에게 데이터를 판매할 가능성이 높다"며 "해당 프로그램을 조사하면서 위협 행위자들이 유명 페이스북 비즈니스 계정에 특별히 주의를 기울이는 것을 발견했다"고 밝혔다.

위협 행위자들은 탈취한 페이스북 봇 계정으로 이러한 멀버타이징 공격을 계속 전파하며, 피해자의 프로필을 대신해 더 많은 소셜 활동과 스폰서 게시물을 게시하고 비즈니스 계정 머니 크레딧을 사용한다.

멀버타이징부터 확장 프로그램 설치, 페이스북 계정 탈취, 그리고 다시 전파까지 이어지는 경로. (사진=가디오)

먼저 확장 프로그램이 설치되면, 확장 프로그램 아이콘을 클릭 시 작은 팝업 창이 나타나고 원하는 것을 챗GPT에 입력하라는 메시지가 표시된다. 확장 프로그램은 메타의 개발자용 그래프API에 접근해 피해자의 모든 세부 정보에 빠르게 접근 가능하며, 간단한 API 호출을 통해 페이스북 계정에서 직접 사용자를 대신해 조치할 수 있도록 한다.

가디오는 요청이 인증된 사용자와 관련한 출처에서 발생된 것인지 확인하는 페이스북의 보안 조치가 있긴 하지만, 해당 악성 프로그램은 이미 페이스북과 인증된 세션을 가지고 있으며, 크롬의 'declarativeNetRequest API' 덕분에 페이스북의 보호를 우회할 수 있는 간단한 방법이 있다고 설명했다.

악성 확장 프로그램이 시작될 때 다음 코드는 바로 호출돼, 브라우저의 모든 소스에서 facebook.com으로 보내는 모든 요청의 헤더를 수정해 출처가 'facebook.com'으로 표시되도록 한다. 이렇게 하면 확장 프로그램은 감염된 브라우저를 사용해 아무런 흔적 없이 API 호출 및 작업 수행 등 모든 페이스북 페이지를 자유롭게 탐색할 수 있다.

'퀵 액세스' 확장 프로그램은 인증된 브라우저 컨텍스트에서 API 호출을 전송한다. (사진=가디오)

피해자가 확장 프로그램을 열어 챗GPT에 질문을 쓰면, 쿼리는 오픈AI 서버로 전송돼 백그라운드에서 즉시 데이터가 수집된다.

가디오는 "페이스북 프로필 및 활동에 대한 완전한 제어부터 모든 그룹, 페이지, 비즈니스 및 광고 계정에 대한 관리 권한은 물론 연결된 왓츠앱 및 인스타그램 계정까지도 관리할 수 있게 된다"고 설명했다.

관련기사

가디오는 지난 9일 해당 악성 확장 프로그램을 구글에 신고했으며, 현재 해당 프로그램은 크롬 스토어에서 삭제됐다.

가디오에 따르면 해당 프로그램은 지난 3월 3일 첫 등장 이후, 매일 2천명 이상의 사용자가 설치한 것으로 알려졌다. 가디오는 페이스북 공식 애플리케이션 API가 남용되고 있으며, 허위 및 악의적인 홍보 게시물이 페이스북에서 너무 쉽게 승인되고, 구글은 여전히 프로모션 검색 결과에 멀버타이징을 허용한다고 지적했다.