150개 이상의 가짜 모질라 확장 프로그램 — 단일 백엔드 및 유료 미디어
언론은 150개 이상의 가짜 모질라 확장 프로그램의 배후로 “러시아 곰들”을 지목했습니다. 우리의 조사 결과, 나이지리아의 인프라(IP 185.208.156.66), 재사용된 피싱 키트, 그리고 유료 기사가 이러한 허위 주장이 확산되는 데 어떻게 기여했는지가 드러났습니다.
오해의 소지가 있는 서술
~에 관한 이야기 "150개 이상의 가짜 모질라 확장 프로그램" 소위 ‘러시아의 흔적’과 연관된 주장이 주요 암호화폐 및 보안 매체들을 통해 대대적으로 보도되었습니다. 극적으로 들릴지 모르지만, 저희 분석에 따르면 이러한 주장은 오해를 불러일으킬 뿐만 아니라, 더 심각한 문제는, 그것은 진짜 가해자들을 감싸고 있다.
단일 백엔드에 150개 이상의 저품질 확장 프로그램
이 캠페인의 모든 확장 기능은 다음과 같았습니다:
- 독창성이 없고, 단순히 복사-붙여넣기 수준이다.
- 로고와 이름만 달랐을 뿐입니다.
- 모두 다음과 연결되어 있습니다. 단일 백엔드.
185.208.156.66백엔드 도메인은
alladdsite[.]digital/app.php. 이 IP와 연결된 대부분의 도메인은 현재 비활성화되었지만, Urlscan과 WebArchive를 통해 아카이브에 스냅샷이 보존되어 있습니다. 이 캠페인에 대한 우리의 대응
피싱 및 사기 인프라 제거에 특화된 독립적인 위협 정보 분석 그룹으로서, 저희는 다음과 같은 활동을 수행합니다:
- 악성 확장 프로그램을 신고하기 위해 모질라에 직접 보고서를 제출했습니다.
- 다음 부서로 이관됨 SEAL, 금지 조치를 가속화하기 위해 전문가의 지원을 요청하며.
- 커뮤니티의 인지도를 높이기 위해 Chainabuse에 보고서를 게시했습니다.
- 도난당한 데이터를 오염시키기 위해 공격자의 백엔드에 수백만 개의 빈 시드 문구를 주입했다.
이것이 왜 “러시아” 인프라가 아닌가
러시아어를 사용하는 위협 행위자들은 일반적으로 다음을 사용합니다:
- 분산형 백엔드(Cloudflare Workers, Firebase, Amazon, 캠페인별 고유 링크).
- 단일 장애 지점을 방지하기 위한 난독화 및 중복 구성.
오히려 이번 캠페인은 다음과 같은 점을 보여주었습니다:
- A 나이지리아 호스팅 업체.
- 은행 사기, 가짜 암호화폐 지갑, 가짜 배송 사기와 연관된 인접 도메인들.
- [ ]와 관련된 도난 데이터를 수신하는 Telegram 계정 나이지리아 통신사.
유료 미디어의 문제점
유료 미디어 노출은 심각한 결과를 초래합니다:
- 저명한 매체에 유료 기사 한 편이 게재된다.
- 수백 개의 소규모 웹사이트, 블로그, Telegram 채널에서 이 내용을 재작성하거나 번역하고 있습니다.
- 며칠 만에, 이는 신뢰할 수 있는 것처럼 보이는 거대한 허위 서사로 변모한다.
예시: 엔젤 드레이너
모든 주요 언론사들은 다음과 같은 헤드라인을 실었습니다. "개발자들이 신원을 확인한 후 '엔젤 드레이너'가 중단되었다." 하지만 그게 사실이었을까, 아니면 믿을 만해 보일 때까지 반복된 또 다른 유료 광고였을까? 범죄자들에게 기사를 사는 건 새발의 피에 불과하지만, 피해자들에게는 모든 것을 뒤바꾸는 일이다.
자사 홍보를 직접 담당하는 사이버 보안 기업들
사이버보안 기업들은 자사나 자사의 연구, 그리고 그 영향력에 관한 기사를 게재하기 위해 수만 달러를 지불합니다. 이는 다음과 같은 근본적인 의문을 제기합니다:
- 진정한 사이버 보안 팀이라면 왜 보험료를 내야 할까요?
- 그들이 진짜 해커의 흔적을 은폐하려고 하는 건가?
- 아니면 해커의 신원을 이용해 협박하거나 경쟁 우위를 점할 수도 있지 않을까?
- 그 목적은 신뢰를 강화하기 위한 것일까, 아니면 이익을 위해 인식을 조작하기 위한 것일까?
시장의 증거
이러한 관행은 숨겨진 것이 아닙니다:
- Fiverr, Upwork 및 전문 PR 마켓에서는 “게스트 포스트”를 직접 구매할 수 있습니다.
- 공급업체들은 잘 알려진 사이버 보안 브랜드를 포함해 수십 개의 판매처와 가격이 기재된 구글 스프레드시트를 보냅니다.
- 어떤 업체는 “추가 요금을 내면 스폰서 로고가 표시되지 않는다”고 약속합니다.
기사 구매의 명시된 목표는 다음과 같습니다:
- 링크 구축 (SEO).
- 트래픽 및 매출.
- 브랜드 인지도.
- 평판 관리 (부정적인 내용 은폐).
- 소셜 인증.
- 비자 신청을 위한 제출 서류 목록.
언급된 비용에는 다음이 포함됩니다. $20,000 주요 암호화폐 언론사의 유료 인터뷰 기회를 위해.
비즈니스 대 거짓말
유료 콘텐츠를 게시하는 것은 불법이 아닙니다. 이는 사업일 뿐입니다. 하지만 그것이 허위 주장을 유포하고, 수사를 오도하며, 홍보 내용을 사실인 양 위장하는 행위, 그러면 그것이 문제의 일부가 됩니다.
결론
PhishDestroy는 보수를 받거나 광고를 판매하거나 이익을 추구하지 않는 독립적인 사이버 보안 프로젝트입니다. 사실은 분명합니다:
- 150개 이상의 모질라 확장 프로그램이 나이지리아 호스팅 서버의 단일 백엔드로 연결되어 있습니다.
- 데이터는 나이지리아의 한 Telegram 계정으로 전송되었습니다.
- “러시아의 흔적”이라는 주장은 조작된 것이다.
- 유료 언론 보도는 이 허위 사실을 마치 진실인 것처럼 보이게 될 때까지 부풀려 냈다.
- 사이버 보안 기업들조차 자사 홍보를 위해 비용을 지출한다.
면책 조항
우리는 어떤 개인, 기업, 언론사도 비난하는 것이 아닙니다. 모든 사실은 공개된 자료이며, 공공 기록 보관소, 스캐너 자료, 보고서 등을 통해 확인할 수 있습니다. 진짜 문제는 다음과 같습니다: 왜 이런 이야기들이 통제되고 부각되는 것일까? 알려지지 않은 보안 회사가 실제 가해자들의 시선을 돌리는 부정확한 대규모 조사 결과를 발표할 때, 과연 누가 이득을 보는 것일까?



