본문으로 건너뛰기
모질라 가짜 확장 프로그램 조사
조사 • 읽는 데 6~8분 소요

150개 이상의 가짜 모질라 확장 프로그램 — 단일 백엔드 및 유료 미디어

언론은 150개 이상의 가짜 모질라 확장 프로그램의 배후로 “러시아 곰들”을 지목했습니다. 우리의 조사 결과, 나이지리아의 인프라(IP 185.208.156.66), 재사용된 피싱 키트, 그리고 유료 기사가 이러한 허위 주장이 확산되는 데 어떻게 기여했는지가 드러났습니다.

원본 게시일: Medium — PhishDestroy

오해의 소지가 있는 서술

~에 관한 이야기 "150개 이상의 가짜 모질라 확장 프로그램" 소위 ‘러시아의 흔적’과 연관된 주장이 주요 암호화폐 및 보안 매체들을 통해 대대적으로 보도되었습니다. 극적으로 들릴지 모르지만, 저희 분석에 따르면 이러한 주장은 오해를 불러일으킬 뿐만 아니라, 더 심각한 문제는, 그것은 진짜 가해자들을 감싸고 있다.

단일 백엔드에 150개 이상의 저품질 확장 프로그램

이 캠페인의 모든 확장 기능은 다음과 같았습니다:

  • 독창성이 없고, 단순히 복사-붙여넣기 수준이다.
  • 로고와 이름만 달랐을 뿐입니다.
  • 모두 다음과 연결되어 있습니다. 단일 백엔드.
백엔드 IP: 185.208.156.66
백엔드 도메인은 alladdsite[.]digital/app.php. 이 IP와 연결된 대부분의 도메인은 현재 비활성화되었지만, Urlscan과 WebArchive를 통해 아카이브에 스냅샷이 보존되어 있습니다.

이 캠페인에 대한 우리의 대응

피싱 및 사기 인프라 제거에 특화된 독립적인 위협 정보 분석 그룹으로서, 저희는 다음과 같은 활동을 수행합니다:

  • 악성 확장 프로그램을 신고하기 위해 모질라에 직접 보고서를 제출했습니다.
  • 다음 부서로 이관됨 SEAL, 금지 조치를 가속화하기 위해 전문가의 지원을 요청하며.
  • 커뮤니티의 인지도를 높이기 위해 Chainabuse에 보고서를 게시했습니다.
  • 도난당한 데이터를 오염시키기 위해 공격자의 백엔드에 수백만 개의 빈 시드 문구를 주입했다.

이것이 왜 “러시아” 인프라가 아닌가

러시아어를 사용하는 위협 행위자들은 일반적으로 다음을 사용합니다:

  • 분산형 백엔드(Cloudflare Workers, Firebase, Amazon, 캠페인별 고유 링크).
  • 단일 장애 지점을 방지하기 위한 난독화 및 중복 구성.

오히려 이번 캠페인은 다음과 같은 점을 보여주었습니다:

  • A 나이지리아 호스팅 업체.
  • 은행 사기, 가짜 암호화폐 지갑, 가짜 배송 사기와 연관된 인접 도메인들.
  • [ ]와 관련된 도난 데이터를 수신하는 Telegram 계정 나이지리아 통신사.
"러시아 해킹 그룹들은 정교한 인프라를 구축합니다. 하지만 이번 사례는 비용이 적게 들고, 중앙 집중식이며, 정교하지 않았습니다. 바로 우리가 이전에 나이지리아 서버에서 보았던 것과 똑같은 양상이었습니다."

유료 미디어의 문제점

유료 미디어 노출은 심각한 결과를 초래합니다:

  1. 저명한 매체에 유료 기사 한 편이 게재된다.
  2. 수백 개의 소규모 웹사이트, 블로그, Telegram 채널에서 이 내용을 재작성하거나 번역하고 있습니다.
  3. 며칠 만에, 이는 신뢰할 수 있는 것처럼 보이는 거대한 허위 서사로 변모한다.
"피해자들은 ‘러시아의 흔적’을 발견하고 사건이 종결되었다고 믿은 뒤 당국에 신고하는 것을 중단한다. 진짜 범죄자들은 처벌을 받지 않은 채 남는다."

예시: 엔젤 드레이너

모든 주요 언론사들은 다음과 같은 헤드라인을 실었습니다. "개발자들이 신원을 확인한 후 '엔젤 드레이너'가 중단되었다." 하지만 그게 사실이었을까, 아니면 믿을 만해 보일 때까지 반복된 또 다른 유료 광고였을까? 범죄자들에게 기사를 사는 건 새발의 피에 불과하지만, 피해자들에게는 모든 것을 뒤바꾸는 일이다.

자사 홍보를 직접 담당하는 사이버 보안 기업들

사이버보안 기업들은 자사나 자사의 연구, 그리고 그 영향력에 관한 기사를 게재하기 위해 수만 달러를 지불합니다. 이는 다음과 같은 근본적인 의문을 제기합니다:

  • 진정한 사이버 보안 팀이라면 왜 보험료를 내야 할까요?
  • 그들이 진짜 해커의 흔적을 은폐하려고 하는 건가?
  • 아니면 해커의 신원을 이용해 협박하거나 경쟁 우위를 점할 수도 있지 않을까?
  • 그 목적은 신뢰를 강화하기 위한 것일까, 아니면 이익을 위해 인식을 조작하기 위한 것일까?
"사이버 보안이, 누가 더 많은 돈을 내느냐에 따라 사실이 좌우되는 또 다른 홍보 게임으로 전락한다면, 이 분야에 대한 신뢰는 무너질 것이다."

시장의 증거

이러한 관행은 숨겨진 것이 아닙니다:

  • Fiverr, Upwork 및 전문 PR 마켓에서는 “게스트 포스트”를 직접 구매할 수 있습니다.
  • 공급업체들은 잘 알려진 사이버 보안 브랜드를 포함해 수십 개의 판매처와 가격이 기재된 구글 스프레드시트를 보냅니다.
  • 어떤 업체는 “추가 요금을 내면 스폰서 로고가 표시되지 않는다”고 약속합니다.

기사 구매의 명시된 목표는 다음과 같습니다:

  • 링크 구축 (SEO).
  • 트래픽 및 매출.
  • 브랜드 인지도.
  • 평판 관리 (부정적인 내용 은폐).
  • 소셜 인증.
  • 비자 신청을 위한 제출 서류 목록.

언급된 비용에는 다음이 포함됩니다. $20,000 주요 암호화폐 언론사의 유료 인터뷰 기회를 위해.

"이건 저널리즘이 아니다. 이곳은 신뢰도가 사고팔리는 시장이다."

비즈니스 대 거짓말

유료 콘텐츠를 게시하는 것은 불법이 아닙니다. 이는 사업일 뿐입니다. 하지만 그것이 허위 주장을 유포하고, 수사를 오도하며, 홍보 내용을 사실인 양 위장하는 행위, 그러면 그것이 문제의 일부가 됩니다.

결론

PhishDestroy는 보수를 받거나 광고를 판매하거나 이익을 추구하지 않는 독립적인 사이버 보안 프로젝트입니다. 사실은 분명합니다:

  • 150개 이상의 모질라 확장 프로그램이 나이지리아 호스팅 서버의 단일 백엔드로 연결되어 있습니다.
  • 데이터는 나이지리아의 한 Telegram 계정으로 전송되었습니다.
  • “러시아의 흔적”이라는 주장은 조작된 것이다.
  • 유료 언론 보도는 이 허위 사실을 마치 진실인 것처럼 보이게 될 때까지 부풀려 냈다.
  • 사이버 보안 기업들조차 자사 홍보를 위해 비용을 지출한다.
"광고 판매는 사업이다. 거짓말을 사실인 양 파는 것은 범죄자들을 감싸주는 것이다. 심지어 사이버 보안 업계조차 특정 주장을 유포할 때면, 피해자와 정의는 모두 손해를 보게 된다."

면책 조항

우리는 어떤 개인, 기업, 언론사도 비난하는 것이 아닙니다. 모든 사실은 공개된 자료이며, 공공 기록 보관소, 스캐너 자료, 보고서 등을 통해 확인할 수 있습니다. 진짜 문제는 다음과 같습니다: 왜 이런 이야기들이 통제되고 부각되는 것일까? 알려지지 않은 보안 회사가 실제 가해자들의 시선을 돌리는 부정확한 대규모 조사 결과를 발표할 때, 과연 누가 이득을 보는 것일까?

#MozillaExtensions#PaidMedia#Disinformation#ThreatIntel#OSINT

이 조사 결과 공유하기

X / Twitter Telegram 레딧 LinkedIn

관련 조사

케이타로 TDS: 1,500개의 패널이 노출되었으나, 합법적인 용도는 전혀 없음
조사
케이타로 TDS: 1,500개의 패널이 노출되었으나, 합법적인 용도는 전혀 없음
스팀 ‘BlockBlasters’ 악성코드: 플랫폼 측의 부주의가 드러나다
조사
스팀 ‘BlockBlasters’ 악성코드: 플랫폼 측의 부주의가 드러나다
사기꾼들의 실체: 4가지 사기 백엔드 분석
조사
사기꾼들의 실체: 4가지 사기 백엔드 분석
투명성 공지. PhishDestroy는 비영리 독립 프로젝트입니다. 당사의 연구 결과에는 사기 인프라 및 이를 가능하게 하는 서비스에 대한 내재된 편향이 반영되어 있을 수 있습니다. 독자 여러분께서는 모든 자료를 비판적이고 독립적인 시각으로 평가해 주시기를 당부드립니다. 투명성 선언문 전문 보기 →