내려받은 MSIX 파일은 페이크뱃 로더, 감염된 호스트 시스템 정보 등 C&C 서버 전송
인기 소프트웨어로 위장한 악성 프로그램 확산...정품 사용 및 공식 마켓 이용 필요

[보안뉴스 김영명 기자] 최근 ‘페이크뱃(FakeBat)’ 로더를 악용해 소프트웨어를 다운로드하기 위해 검색하는 사용자에게 악성 광고를 표시하고, 가짜 웹사이트로 접속을 유도하는 공격이 발견됐다. 이 공격의 최종 목표는 감염된 호스트의 정보를 가져가는 것이다.


▲악성 광고 캠페인을 통해 배포되는 페이크뱃 로더[자료=잉카인터넷 시큐리티대응센터]

잉카인터넷 시큐리티대응센터는 ‘악성 광고 캠페인을 통해 배포되는 FakeBat 로더’에 대해 맨디언트(Mandiant)의 기술 보고서를 인용해 소개했다. 화면에 보이는 광고가 악성 광고임을 인지하지 못하는 사용자는 악성 광고 내 표시된 링크를 통해 가짜 웹사이트로 접속한다. 이어 정상 파일인 척 위장한 악성 MSI 설치 프로그램을 다운로드하게 된다.

이때 사용자는 MSIX 파일을 내려받게 되는데 이는 페이크뱃 로더다. 페이크뱃 로더는 정상 프로그램을 시작하기 전에 먼저 악성 스크립트를 실행해 사용자 모르게 공격자의 C&C 서버에 접속해 추가 페이로드를 해당 컴퓨터에 다운로드한다.

페이로드 설치 과정에서 다양한 악성코드가 내려받아지는데, 이때 IcedID, RedLine Stealer, Lumma Stelaer, SectorRAT 등이 포함된다. 공격자는 최종으로 감염된 호스트의 시스템 정보와 설치된 보안 프로그램 등을 수집해 공격자의 C&C 서버로 전송한다.

잉카인터넷 시큐리티대응센터 분석팀은 “맨디언트는 브레이브(Brave), 키패스(KeePass), 노션(Notion), 스팀(Steam), 줌(Zoom) 등과 같은 인기 소프트웨어로 위장한 악성 프로그램을 유포하기 위해 멀버타이징(malicious advertising, 악성광고)을 활용하기 때문에 사용자의 주의가 필요하다”고 권고했다.

한국인터넷진흥원(KISA)은 정보보호 실천수칙의 기본 중 하나로 OS(운영체제)와 소프트웨어는 정품을 사용하고 모바일 애플리케이션이나 프로그램도 공식 사이트(마켓)를 통해 내려받는 것을 강조하고 있다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>