올 한 해 계속해서 발견되어 온 거대 캠페인…처음엔 작게 시작하더니
현재 최종 페이로드는 지로더…각종 크리덴셜과 민감한 정보 빼돌리는 멀웨어
[보안뉴스 문가용 기자] 사이버 범죄자들이 성인 사이트 방문자들을 노리기 시작했다. 성인 사이트에 악성 광고를 걸어놓고 방문자들을 유혹해 악성 웹 사이트에 접속하도록 꾀고 있는 것이다. 이 사이트에 접속한 사람들은 멀웨어에 감염되고 있다.
[이미지 = utoimage]
이 공격 캠페인은 멀스모크(malsmoke)라고 하는 대규모 멀버타이징 캠페인의 일환으로 2020년 한 해 내내 여기 저기서 발견되고 있다. 한 동안은 피싱 공격을 통해 피해자들을 악성 사이트로 유도하더니, 최근 들어서는 가짜 자바 업데이트를 통해 피해자들을 감염시키는 식으로 전략을 바꿨다.
이렇게 전략에 변화가 온 건 10월 중순부터라고 한다. 피해자가 업데이트 확인 버튼을 누르는 순간 지로더(Zloader)라는 뱅킹 멀웨어가 다운로드 된다. 지로더는 로그인 크리덴셜과 여러 가지 민감 및 개인정보를 훔치는 멀웨어다. 보안 업체 멀웨어바이트(Malwarebytes)는 월요일 분석 보고서를 발표하며 이렇게 전략을 바꾼 것이 “피해자의 수를 대폭 늘이려는 것이 공격자들의 의도로 보인다”고 설명했다.
이번 성인 사이트 대상 멀버타이징 공격은 다음과 같은 순서로 일어난다.
1) 피해자가 성인 사이트에 접속해 성인물 영상을 클릭한다.
2) 새 팝업창이 뜨는데, 선명하지 않은(블러 처리가 된) 영상이 걸려 있는 듯한 모양이다.
3) 하지만 배경에는 이미 악성 행위가 연쇄적으로 일어나고 있다.
4) 2)에서 뜨는 새 팝업창이 뜨면서 피해자들은 각종 악성 페이지들로 접속이 되는데, 맨 마지막에는 가짜 성인 사이트에 도착한다.
5) 흐릿했던 영상이 몇 초 동안 멀쩡하게 재생되다가 갑자기 자바 플러그인 8.0을 찾을 수 없다는 오류 메시지가 뜬다.
6) 피해자들이 업데이트 버튼을 누르면서 지로더가 설치된다.
위에서 블러 처리된 듯한 영상은 28초짜리 MP4 파일로, 사용자들이 업데이트를 누르도록 하기 위해 일부러 흐릿하게 나타나도록 설정되어 있다고 한다. “사실 공격자들은 다른 미끼를 넣을 수도 있었어요. 하필 왜 자바를 선택한 건지는 잘 이해가 가지 않습니다. 자바가 멀티미디어 콘텐츠와 관련이 있는 경우가 있긴 하지만요. 보다 대중들이 잘 이해하는 동영상 플레이어의 이름을 대는 게 더 그럴 듯하지 않았을까 합니다.”
공격자들이 업데이트라고 꾸며서 피해자의 시스템에 다운로드 하는 파일은 JavaPlug-in.msi라고 한다. 디지털 서명이 제대로 된 마이크로소프트 인스톨러이며, 다양한 라이브러리와 실행파일들을 포함하고 있다. 멀웨어바이츠에 의하면 이것들 대부분이 합법적이며 정상적이라고 한다. 이중 한 실행파일은 lic_service.exe라고 하는데, 실행 직후 HelperDll.dll이라는 파일을 로딩한다. 이 파일이 공격자들의 최종 페이로드가 실행되는 데에 중요한 역할을 담당한다. curl 라이브러리를 사용해 암호화 된 페이로드를 moviehunters..site라는 곳으로부터 다운로드 하는 것이다.
이 최종 페이로드가 바로 위에서 언급한 지로더다. 지로더는 설치된 후 msiexec.exe라는 새 프로세스에 스스로를 주입하고, 여기서부터 C&C 서버와의 연결을 시도한다. 연결된 이후에는 공격자들의 명령에 따라 새로운 모듈들을 추가로 다운로드 받아 설치한다.
멀스모크 캠페인이 처음 공개된 건 9월의 일이다. 당시에는 스모크로더(Smoke Loader)라는 멀웨어를 주로 사용했기 때문에 멀스모크라는 이름이 붙었다. 하지만 그 전부터 이뤄졌던 공격자들의 활동들이 꾸준이 포착되어 왔다. 운영자들은 초반에는 트래픽이 높지 않은 불량 사이트들을 끼고 활동하더니 최근에는 점점 더 트래픽이 높은 사이트들로 활동 무대를 옮겨 왔다. 이번에 이들의 족적이 발견된 성인 사이트의 경우 월 평균 10억 명의 방문자가 기록되는 곳도 있었다.
멀웨어바이츠는 “앞으로도 이들은 계속해서 활동 범위를 늘려가며 피해자들을 양산해 낼 것”이라고 보고 있다. “이들의 공격 전략의 공통점은 가격 효율이 좋다는 겁니다. 대단히 고급스러운, 고차원적 난이도의 공격이 이뤄지고 있지는 않습니다. 대신 싸고 성공률이 높은 방식이 주를 이루고 있죠. 효율성이 높은 한 공격자들은 비슷한 행위를 계속해서 이어갑니다. 멀스모크 운영자들도 그럴 것입니다.”
3줄 요약
1. 성인 사이트에서 멀버타이징 공격 대규모로 실시하는 캠페인 발견됨.
2. 영상이 흐릿하게 나타나며 자바 업데이트를 유도한다면 100% 이 공격임.
3. 최종 페이로드는 지로더라는 뱅킹 멀웨어. 각종 정보 탈취가 목적인 듯.
[국제부 문가용 기자(globoan@boannews.com)]
현재 최종 페이로드는 지로더…각종 크리덴셜과 민감한 정보 빼돌리는 멀웨어
[보안뉴스 문가용 기자] 사이버 범죄자들이 성인 사이트 방문자들을 노리기 시작했다. 성인 사이트에 악성 광고를 걸어놓고 방문자들을 유혹해 악성 웹 사이트에 접속하도록 꾀고 있는 것이다. 이 사이트에 접속한 사람들은 멀웨어에 감염되고 있다.
[이미지 = utoimage]
이 공격 캠페인은 멀스모크(malsmoke)라고 하는 대규모 멀버타이징 캠페인의 일환으로 2020년 한 해 내내 여기 저기서 발견되고 있다. 한 동안은 피싱 공격을 통해 피해자들을 악성 사이트로 유도하더니, 최근 들어서는 가짜 자바 업데이트를 통해 피해자들을 감염시키는 식으로 전략을 바꿨다.
이렇게 전략에 변화가 온 건 10월 중순부터라고 한다. 피해자가 업데이트 확인 버튼을 누르는 순간 지로더(Zloader)라는 뱅킹 멀웨어가 다운로드 된다. 지로더는 로그인 크리덴셜과 여러 가지 민감 및 개인정보를 훔치는 멀웨어다. 보안 업체 멀웨어바이트(Malwarebytes)는 월요일 분석 보고서를 발표하며 이렇게 전략을 바꾼 것이 “피해자의 수를 대폭 늘이려는 것이 공격자들의 의도로 보인다”고 설명했다.
이번 성인 사이트 대상 멀버타이징 공격은 다음과 같은 순서로 일어난다.
1) 피해자가 성인 사이트에 접속해 성인물 영상을 클릭한다.
2) 새 팝업창이 뜨는데, 선명하지 않은(블러 처리가 된) 영상이 걸려 있는 듯한 모양이다.
3) 하지만 배경에는 이미 악성 행위가 연쇄적으로 일어나고 있다.
4) 2)에서 뜨는 새 팝업창이 뜨면서 피해자들은 각종 악성 페이지들로 접속이 되는데, 맨 마지막에는 가짜 성인 사이트에 도착한다.
5) 흐릿했던 영상이 몇 초 동안 멀쩡하게 재생되다가 갑자기 자바 플러그인 8.0을 찾을 수 없다는 오류 메시지가 뜬다.
6) 피해자들이 업데이트 버튼을 누르면서 지로더가 설치된다.
위에서 블러 처리된 듯한 영상은 28초짜리 MP4 파일로, 사용자들이 업데이트를 누르도록 하기 위해 일부러 흐릿하게 나타나도록 설정되어 있다고 한다. “사실 공격자들은 다른 미끼를 넣을 수도 있었어요. 하필 왜 자바를 선택한 건지는 잘 이해가 가지 않습니다. 자바가 멀티미디어 콘텐츠와 관련이 있는 경우가 있긴 하지만요. 보다 대중들이 잘 이해하는 동영상 플레이어의 이름을 대는 게 더 그럴 듯하지 않았을까 합니다.”
공격자들이 업데이트라고 꾸며서 피해자의 시스템에 다운로드 하는 파일은 JavaPlug-in.msi라고 한다. 디지털 서명이 제대로 된 마이크로소프트 인스톨러이며, 다양한 라이브러리와 실행파일들을 포함하고 있다. 멀웨어바이츠에 의하면 이것들 대부분이 합법적이며 정상적이라고 한다. 이중 한 실행파일은 lic_service.exe라고 하는데, 실행 직후 HelperDll.dll이라는 파일을 로딩한다. 이 파일이 공격자들의 최종 페이로드가 실행되는 데에 중요한 역할을 담당한다. curl 라이브러리를 사용해 암호화 된 페이로드를 moviehunters..site라는 곳으로부터 다운로드 하는 것이다.
이 최종 페이로드가 바로 위에서 언급한 지로더다. 지로더는 설치된 후 msiexec.exe라는 새 프로세스에 스스로를 주입하고, 여기서부터 C&C 서버와의 연결을 시도한다. 연결된 이후에는 공격자들의 명령에 따라 새로운 모듈들을 추가로 다운로드 받아 설치한다.
멀스모크 캠페인이 처음 공개된 건 9월의 일이다. 당시에는 스모크로더(Smoke Loader)라는 멀웨어를 주로 사용했기 때문에 멀스모크라는 이름이 붙었다. 하지만 그 전부터 이뤄졌던 공격자들의 활동들이 꾸준이 포착되어 왔다. 운영자들은 초반에는 트래픽이 높지 않은 불량 사이트들을 끼고 활동하더니 최근에는 점점 더 트래픽이 높은 사이트들로 활동 무대를 옮겨 왔다. 이번에 이들의 족적이 발견된 성인 사이트의 경우 월 평균 10억 명의 방문자가 기록되는 곳도 있었다.
멀웨어바이츠는 “앞으로도 이들은 계속해서 활동 범위를 늘려가며 피해자들을 양산해 낼 것”이라고 보고 있다. “이들의 공격 전략의 공통점은 가격 효율이 좋다는 겁니다. 대단히 고급스러운, 고차원적 난이도의 공격이 이뤄지고 있지는 않습니다. 대신 싸고 성공률이 높은 방식이 주를 이루고 있죠. 효율성이 높은 한 공격자들은 비슷한 행위를 계속해서 이어갑니다. 멀스모크 운영자들도 그럴 것입니다.”
3줄 요약
1. 성인 사이트에서 멀버타이징 공격 대규모로 실시하는 캠페인 발견됨.
2. 영상이 흐릿하게 나타나며 자바 업데이트를 유도한다면 100% 이 공격임.
3. 최종 페이로드는 지로더라는 뱅킹 멀웨어. 각종 정보 탈취가 목적인 듯.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
