딥시크 R1 위장한 멀웨어, 암호화폐 지갑 노린다

2025-06-13 14:33
  • 카카오톡
  • 네이버 블로그
  • url
구글 광고 통해 피싱사이트로 유인…브라우저 트래픽 감청·정보 탈취
글로벌 감염 확산…카스퍼스키 “공식 경로 외 다운로드 주의”


[보안뉴스 여이레 기자] 러시아 해커 그룹이 중국 AI 스타트업 딥시크 오픈소스 모델 ‘딥시크 R1’의 인기를 악용해 윈도우 사용자를 노린 새로운 악성코드를 배포하고 있다.

감염되면 피해자 트래픽 감청이나 민감 정보 탈취, 암호화폐 지갑 정보 유출 등이 우려된다.


실제 딥시크를 모방한 가짜 웹사이트 [자료: 카스퍼스키]

12일(현지시간) 카스퍼스키가 발간한 보고서에 따르면, 이 해커 그룹은 검색 광고와 피싱 전략을 결합해 그간 알려지지 않았던 ‘브라우저베놈’(BrowserVenom)이란 멀웨어를 유포한다.

구글에서 ‘deepseek r1’ 검색어를 입력했을 때 지신들의 피싱 사이트가 상단에 노출되도록 광고를 집행해 피싱사이트 deepseek-platform[.]com으로 유인한다.

실제 딥시크 사이트와 흡사하게 만들어진 이 사이트에서 가짜 캡차 등의 과정을 거쳐 사용자에게 악성 설치파일 ‘AI-Launcher_1.21.exe’을 다운로드하게 한다.

이를 실행하면 AI 모델 관련 도구 올리마와 LM스튜디오를 설치하라는 화면이 나타나고, 이를 선택하면 멀웨어 설치를 위한 과정이 백그라운드에서 몰래 시작된다.

AES-256-CBC 알고리즘으로 암호화된 파워쉘 명령으로 사용자 폴더를 윈도우 디펜더 예외처리 대상으로 등록해 탐지 위험을 피한다. 이어 추가 파워셸 명령을 통해 ‘app-updater1[.]app’ 등 악성 도메인에서 또 다른 실행파일(1.exe)을 내려받아 실행한다. 마지막으로는 악성 설치 파일 내부에 하드코딩된 2단계 페이로드를 복호화해 메모리에서 실행한다.

이런 과정을 거쳐 최종적으로 실행되는 브라우저베놈 악성코드는 모든 브라우저 트래픽을 해커가 제어하는 프록시 서버로 강제 우회한다. 이를 위해 해커가 위조한 인증서를 시스템에 설치해 크롬, 엣지, 파이어폭스 등 브라우저의 설정을 변경한다.

감염되면 트래픽 감청과 민감 정보 탈취, 암호화 트래픽 복호화 등이 가능해진다. 브라우저 쿠키, 로그인 정보 등이 대거 유출될 수 있고, 암호화폐 지갑 복구문자와 비밀번호가 노출돼 금전적 손실도 입을 수 있다.

공격에 쓰인 피싱사이트 코드에서 러시아어로 된 주석이 발견된 점에 비추어 공격자는 러시아권 해커일 것으로 보인다.

이 캠페인은 전 세계를 대상으로 하고 있다고 밝혔다. 이미 브라질, 쿠바, 멕시코, 인도, 네팔, 남아프리카, 이집트 등에서 감염 사례를 확인됐다. 카스퍼스키 관계자는 “이번 공격은 딥시크의 세계적 인기와 AI 열풍을 악용한 대표적 사이버 위협 사례”라며 “검색 결과가 공식 사이트인지, URL과 인증서가 정상인지 반드시 확인하고 공식 경로 이외의 소프트웨어 다운로드를 피하라”고 권고했다.

[여이레 기자(gore@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

연관 뉴스

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 씨프로

    • 인콘

    • 엔텍디바이스코리아

    • 핀텔

    • 아이비젼

    • 아이디스

    • 씨프로

    • 웹게이트

    • 엔토스정보통신

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 지오멕스소프트

    • 원우이엔지

    • 지인테크

    • 홍석

    • 이화트론

    • 다누시스

    • 테크스피어

    • TVT코리아

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 세연테크

    • 비전정보통신

    • 트루엔

    • 경인씨엔에스

    • 한국씨텍

    • 성현시스템

    • 아이원코리아

    • 프로브디지털

    • 위트콘

    • 다후아테크놀로지코리아

    • 한결피아이에프

    • 스피어AX

    • 동양유니텍

    • 포엠아이텍

    • 넥스트림

    • 펜타시큐리티

    • 에프에스네트워크

    • 신우테크
      팬틸드 / 하우징

    • 옥타코

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 네티마시스템

    • 아이엔아이

    • 미래시그널

    • 엣지디엑스

    • 인빅

    • 유투에스알

    • 제네텍

    • 주식회사 에스카

    • 솔디아

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 새눈

    • 에이앤티글로벌

    • 케비스전자

    • 한국아이티에스

    • 이엘피케이뉴

    • (주)일산정밀

    • 구네보코리아주식회사

    • 레이어스

    • 창성에이스산업

    • 엘림광통신

    • 에이앤티코리아

    • 엔에스티정보통신

    • 와이즈콘

    • 현대틸스
      팬틸트 / 카메라

    • 엔시드

    • 포커스에이아이

    • 넥스텝

    • 인더스비젼

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

시큐리티월드

IP NEWS

회원가입

Passwordless 설정

PC버전

닫기