250개 이상의 도메인으로 구성된 “대형 및 탄력적 인프라”는 2020년 초부터 Raccoon 및 Vidar와 같은 정보 탈취 악성코드를 배포하는 데 사용되고 있습니다.
이 감염 체인은 “GitHub와 같은 파일 공유 플랫폼에서 호스팅되는 페이로드를 다운로드하기 전에 여러 링크로 리디렉션되는 약 100개의 가짜 크랙 소프트웨어 카탈로그 웹 사이트를 사용합니다”라고 사이버 보안 회사인 SEKOIA는 이달 초 발표된 분석에서 밝혔습니다.
이 프랑스 사이버 보안 회사는 TDS(트래픽 방향 시스템)를 실행하는 공격자가 운영하는 도메인을 평가했습니다. 이 시스템을 통해 다른 사이버 범죄자는 서비스를 빌려 악성 코드를 배포할 수 있습니다.
이 공격은 Google과 같은 검색 엔진에서 크랙된 버전의 소프트웨어 및 게임을 검색하는 사용자를 대상으로 하며, 피해자가 악성 페이로드를 다운로드하고 실행하도록 유인하는 검색 엔진 최적화(SEO) 포이즈닝이라는 기술을 활용하여 사기성 웹 사이트를 맨 위에 표시합니다.
중독된 결과는 약속된 소프트웨어에 대한 다운로드 링크와 함께 제공되며, 이 링크는 클릭 시 5단계 URL 리디렉션 시퀀스를 트리거하여 단축 링크를 표시하는 웹 페이지로 사용자를 이동합니다. 이 링크는 GitHub, 비밀번호와 함께.
연구원들은 “여러 리디렉션을 사용하면 보안 솔루션의 자동 분석이 복잡해집니다.”라고 말했습니다. “이와 같이 인프라를 조각하는 것은 복원력을 보장하도록 거의 확실하게 설계되어 단계를 업데이트하거나 변경하는 것이 더 쉽고 빠릅니다.”
피해자가 RAR 아카이브의 압축을 풀고 그 안에 포함된 것으로 알려진 설치 실행 파일을 실행하면 Raccoon 또는 Vidar의 두 가지 악성코드군 중 하나가 시스템에 설치됩니다.
이 개발은 Cyble이 AnyDesk, Bluestacks, Notepad++ 및 Zoom과 같이 널리 사용되는 소프트웨어를 미끼로 사용하여 Rhadamanthys Stealer로 알려진 기능이 풍부한 스틸러를 제공하는 악성 Google Ads 캠페인을 자세히 설명하면서 이루어졌습니다.
공격 체인의 다른 변종은 은행 명세서로 위장한 피싱 이메일을 이용하여 사용자가 사기성 링크를 클릭하도록 속이는 것이 관찰되었습니다.
인기 있는 원격 데스크톱 솔루션을 사칭하는 조작된 웹사이트도 과거에 Mitsu Stealer라는 Python 기반 정보 도용자를 전파하는 데 사용되었습니다.
두 멀웨어 모두 손상된 시스템에서 광범위한 개인 정보를 빼내고, 웹 브라우저에서 자격 증명을 수집하고, 다양한 암호화폐 지갑에서 데이터를 훔칠 수 있습니다.
사용자는 불법 복제 소프트웨어 다운로드를 자제하고 가능한 한 다단계 인증을 시행하여 계정을 강화하는 것이 좋습니다.
연구원들은 “사용자가 스팸 이메일을 받거나 피싱 웹사이트를 방문할 때 주의를 기울이고 애플리케이션을 다운로드하기 전에 소스를 확인하는 것이 중요합니다”라고 말했습니다.