구글 광고 통해 피싱사이트로 유인…브라우저 트래픽 감청·정보 탈취
글로벌 감염 확산…카스퍼스키 “공식 경로 외 다운로드 주의”

[보안뉴스 여이레 기자] 러시아 해커 그룹이 중국 AI 스타트업 딥시크 오픈소스 모델 ‘딥시크 R1’의 인기를 악용해 윈도우 사용자를 노린 새로운 악성코드를 배포하고 있다.

감염되면 피해자 트래픽 감청이나 민감 정보 탈취, 암호화폐 지갑 정보 유출 등이 우려된다.


실제 딥시크를 모방한 가짜 웹사이트 [자료: 카스퍼스키]

12일(현지시간) 카스퍼스키가 발간한 보고서에 따르면, 이 해커 그룹은 검색 광고와 피싱 전략을 결합해 그간 알려지지 않았던 ‘브라우저베놈’(BrowserVenom)이란 멀웨어를 유포한다.

구글에서 ‘deepseek r1’ 검색어를 입력했을 때 지신들의 피싱 사이트가 상단에 노출되도록 광고를 집행해 피싱사이트 deepseek-platform[.]com으로 유인한다.

실제 딥시크 사이트와 흡사하게 만들어진 이 사이트에서 가짜 캡차 등의 과정을 거쳐 사용자에게 악성 설치파일 ‘AI-Launcher_1.21.exe’을 다운로드하게 한다.

이를 실행하면 AI 모델 관련 도구 올리마와 LM스튜디오를 설치하라는 화면이 나타나고, 이를 선택하면 멀웨어 설치를 위한 과정이 백그라운드에서 몰래 시작된다.

AES-256-CBC 알고리즘으로 암호화된 파워쉘 명령으로 사용자 폴더를 윈도우 디펜더 예외처리 대상으로 등록해 탐지 위험을 피한다. 이어 추가 파워셸 명령을 통해 ‘app-updater1[.]app’ 등 악성 도메인에서 또 다른 실행파일(1.exe)을 내려받아 실행한다. 마지막으로는 악성 설치 파일 내부에 하드코딩된 2단계 페이로드를 복호화해 메모리에서 실행한다.

이런 과정을 거쳐 최종적으로 실행되는 브라우저베놈 악성코드는 모든 브라우저 트래픽을 해커가 제어하는 프록시 서버로 강제 우회한다. 이를 위해 해커가 위조한 인증서를 시스템에 설치해 크롬, 엣지, 파이어폭스 등 브라우저의 설정을 변경한다.

감염되면 트래픽 감청과 민감 정보 탈취, 암호화 트래픽 복호화 등이 가능해진다. 브라우저 쿠키, 로그인 정보 등이 대거 유출될 수 있고, 암호화폐 지갑 복구문자와 비밀번호가 노출돼 금전적 손실도 입을 수 있다.

공격에 쓰인 피싱사이트 코드에서 러시아어로 된 주석이 발견된 점에 비추어 공격자는 러시아권 해커일 것으로 보인다.

이 캠페인은 전 세계를 대상으로 하고 있다고 밝혔다. 이미 브라질, 쿠바, 멕시코, 인도, 네팔, 남아프리카, 이집트 등에서 감염 사례를 확인됐다. 카스퍼스키 관계자는 “이번 공격은 딥시크의 세계적 인기와 AI 열풍을 악용한 대표적 사이버 위협 사례”라며 “검색 결과가 공식 사이트인지, URL과 인증서가 정상인지 반드시 확인하고 공식 경로 이외의 소프트웨어 다운로드를 피하라”고 권고했다.

[여이레 기자(gore@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>