가짜 리뷰와 AI 영상으로 악성코드 신뢰도 조작한 공격 캠페인 발견
GitHub·SourceForge·유튜브·바이러스토탈 등을 활용해 암호화폐 탈취 악성코드 유포
평판 조작 통한 악성코드 확산이 새로운 위협으로 떠오르고 있어
[보안뉴스 강초희 기자] 신원 미상의 위협 행위자가 합법적인 뉴스 사이트의 유료 기사(스폰서 콘텐츠)를 활용해 악성 프로그램을 홍보하는 새로운 공격 캠페인을 벌인 것으로 나타났다.
[출처: gettyimagesbank]
체크포인트 리서치(Check Point Research)에 따르면 공격자는 전용 워드프레스 피싱 페이지를 중심으로 GitHub와 SourceForge 프로젝트, 유튜브 채널, 바이러스토탈(VirusTotal) 계정 등을 연계해 악성코드에 대한 신뢰도를 인위적으로 높이는 방식으로 활동했다.
체크포인트는 “공격자는 다운로드 수 부풀리기, 조직적인 5성 리뷰, 인플루언서 스타일의 튜토리얼 영상, 신뢰받는 플랫폼에서의 홍보 등 정상 기업들이 사용하는 마케팅 전략을 그대로 차용했다”며 “사용자가 다운로드 전 확인할 수 있는 거의 모든 플랫폼에 가짜 평판 생태계를 구축했다”고 설명했다.
공격의 최종 목적은 암호화폐 클립보드 하이재커(Clipboard Hijacker)를 배포하는 것이다. 악성코드는 솔라나(Solana) 및 펌프닷펀(Pump.fun) 스나이퍼 봇, 온라인 도박 예측 프로그램 등에 숨겨져 배포됐으며, 빠른 수익을 노리는 암호화폐 투자자와 온라인 도박 이용자를 주요 표적으로 삼고 있다.
해당 악성코드는 Rust 기반으로 개발됐으며 윈도우와 macOS를 모두 지원한다. 사용자의 클립보드를 지속적으로 감시하다가 암호화폐 지갑 주소 패턴이 감지되면 이를 공격자가 미리 설정한 지갑 주소로 자동 교체한다. 사용자가 이를 인지하지 못한 채 송금을 진행할 경우 자금이 공격자 지갑으로 전송된다.
이번 공격에서 주목할 점은 바이러스토탈을 비롯한 평판 기반 시스템을 조작하기 위해 ‘고스트 네트워크’(Ghost Networks)를 활용했다는 점이다. 공격자는 다수의 계정을 동원해 악성 파일에 추천과 긍정적인 댓글을 남기며 정상 파일처럼 보이도록 위장했다.
이 같은 활동은 GitHub에서도 확인됐다. 공격자는 최소 6개의 GitHub 계정을 운영하며 악성 프로젝트를 상호 홍보하고 배포했다. 그 결과 일부 저장소는 별점 146개와 포크(Fork) 62개를 확보하는 등 인위적으로 신뢰도를 높인 것으로 나타났다.
SourceForge에서도 비정상적인 다운로드 통계가 확인됐다. 다운로드 수는 4만4485건에 달했으며, 이 가운데 3만7460건이 안드로이드 기기에서 발생한 것으로 기록됐다. 하지만 해당 개발자는 윈도우와 macOS 버전만 제공하고 있어 통계 조작 가능성이 제기됐다.
체크포인트는 “안드로이드 기기 농장(Android Farm)을 이용해 SourceForge 다운로드 수를 인위적으로 늘렸을 가능성이 있다”고 분석했다.
공격자는 구독자 9만1000명 이상을 보유한 유튜브 채널도 운영하고 있었다. 2020년 7월 개설된 이 채널은 ‘교육 목적 전용’을 표방하고 있으며, AI가 생성한 음성 내레이터와 긍정적인 댓글을 활용해 프로그램의 신뢰성과 인기를 연출했다.
특히 이번 캠페인에서 가장 이례적인 부분은 공격자가 EIN Presswire와 같은 보도자료 배포 서비스를 활용했다는 점이다. 해당 보도자료는 이후 USA TODAY Network를 포함한 다수의 제휴 뉴스 사이트에 재배포되며 악성 프로그램 홍보에 이용됐다.
체크포인트는 “크라우드소싱 기반 플랫폼에서 평판과 여론을 조작하는 것은 공격자들이 신뢰를 구축하는 새로운 방식”이라며 “이러한 가짜 평판과 공격적인 크로스 플랫폼 홍보 전략은 앞으로 정보탈취형 악성코드나 랜섬웨어를 더욱 효과적으로 유포하는 데 활용될 수 있다”고 경고했다.
[강초희 기자(choh@boannews.com)]
GitHub·SourceForge·유튜브·바이러스토탈 등을 활용해 암호화폐 탈취 악성코드 유포
평판 조작 통한 악성코드 확산이 새로운 위협으로 떠오르고 있어
[보안뉴스 강초희 기자] 신원 미상의 위협 행위자가 합법적인 뉴스 사이트의 유료 기사(스폰서 콘텐츠)를 활용해 악성 프로그램을 홍보하는 새로운 공격 캠페인을 벌인 것으로 나타났다.
[출처: gettyimagesbank]
체크포인트 리서치(Check Point Research)에 따르면 공격자는 전용 워드프레스 피싱 페이지를 중심으로 GitHub와 SourceForge 프로젝트, 유튜브 채널, 바이러스토탈(VirusTotal) 계정 등을 연계해 악성코드에 대한 신뢰도를 인위적으로 높이는 방식으로 활동했다.
체크포인트는 “공격자는 다운로드 수 부풀리기, 조직적인 5성 리뷰, 인플루언서 스타일의 튜토리얼 영상, 신뢰받는 플랫폼에서의 홍보 등 정상 기업들이 사용하는 마케팅 전략을 그대로 차용했다”며 “사용자가 다운로드 전 확인할 수 있는 거의 모든 플랫폼에 가짜 평판 생태계를 구축했다”고 설명했다.
공격의 최종 목적은 암호화폐 클립보드 하이재커(Clipboard Hijacker)를 배포하는 것이다. 악성코드는 솔라나(Solana) 및 펌프닷펀(Pump.fun) 스나이퍼 봇, 온라인 도박 예측 프로그램 등에 숨겨져 배포됐으며, 빠른 수익을 노리는 암호화폐 투자자와 온라인 도박 이용자를 주요 표적으로 삼고 있다.
해당 악성코드는 Rust 기반으로 개발됐으며 윈도우와 macOS를 모두 지원한다. 사용자의 클립보드를 지속적으로 감시하다가 암호화폐 지갑 주소 패턴이 감지되면 이를 공격자가 미리 설정한 지갑 주소로 자동 교체한다. 사용자가 이를 인지하지 못한 채 송금을 진행할 경우 자금이 공격자 지갑으로 전송된다.
이번 공격에서 주목할 점은 바이러스토탈을 비롯한 평판 기반 시스템을 조작하기 위해 ‘고스트 네트워크’(Ghost Networks)를 활용했다는 점이다. 공격자는 다수의 계정을 동원해 악성 파일에 추천과 긍정적인 댓글을 남기며 정상 파일처럼 보이도록 위장했다.
이 같은 활동은 GitHub에서도 확인됐다. 공격자는 최소 6개의 GitHub 계정을 운영하며 악성 프로젝트를 상호 홍보하고 배포했다. 그 결과 일부 저장소는 별점 146개와 포크(Fork) 62개를 확보하는 등 인위적으로 신뢰도를 높인 것으로 나타났다.
SourceForge에서도 비정상적인 다운로드 통계가 확인됐다. 다운로드 수는 4만4485건에 달했으며, 이 가운데 3만7460건이 안드로이드 기기에서 발생한 것으로 기록됐다. 하지만 해당 개발자는 윈도우와 macOS 버전만 제공하고 있어 통계 조작 가능성이 제기됐다.
체크포인트는 “안드로이드 기기 농장(Android Farm)을 이용해 SourceForge 다운로드 수를 인위적으로 늘렸을 가능성이 있다”고 분석했다.
공격자는 구독자 9만1000명 이상을 보유한 유튜브 채널도 운영하고 있었다. 2020년 7월 개설된 이 채널은 ‘교육 목적 전용’을 표방하고 있으며, AI가 생성한 음성 내레이터와 긍정적인 댓글을 활용해 프로그램의 신뢰성과 인기를 연출했다.
특히 이번 캠페인에서 가장 이례적인 부분은 공격자가 EIN Presswire와 같은 보도자료 배포 서비스를 활용했다는 점이다. 해당 보도자료는 이후 USA TODAY Network를 포함한 다수의 제휴 뉴스 사이트에 재배포되며 악성 프로그램 홍보에 이용됐다.
체크포인트는 “크라우드소싱 기반 플랫폼에서 평판과 여론을 조작하는 것은 공격자들이 신뢰를 구축하는 새로운 방식”이라며 “이러한 가짜 평판과 공격적인 크로스 플랫폼 홍보 전략은 앞으로 정보탈취형 악성코드나 랜섬웨어를 더욱 효과적으로 유포하는 데 활용될 수 있다”고 경고했다.
[강초희 기자(choh@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
