Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향허위 스트리밍 서비스로 사용자를 유인하는 BazarLoader
작성일 2021-06-01 조회 2238

최근, 피싱 메일 및 허위 콜 센터로 가장해 피해자의 PC감염을 노리던 BazarLoader가 다시 활동을 시작했다. 이들은 허위 스트리밍 서비스인 BravoMovies를 오픈했으며 영화 대신 BazarLoader 악성코드를 유포하는 사이트다.

 

Proofpoint 연구원들은 공격자들이 대상 목표에게 BazarLoader를 감염시키기 위해 여러가지 인적 상호 작용을 수행하는 것을 발견했다. 이들의 공격 체인은 다음과 같다.

 

1. 목표 대상에게 현재 가입된 서비스가 존재하고 서비스 취소를 이행하지 않을 시 신용카드를 통해 이용료가 지불된다고 알린다. 이는 피싱 메일로 전달된다.

 

2. 메일 내용에는 콜 센터에서 대기하고 있는 고객 관리 전용 전화번호가 포함되어 있다. 콜 센터 직원들은 특정 스트리밍 사이트로 안내한 뒤, 스트리밍 취소 절차를 설명한다.

 

3. 계획에 속은 피해자들은 액셀 문서를 받아 실행하게 되고 내부에 숨겨진 매크로를 통해 BazarLoader를 설치하게 된다.

 


[그림1. BazarLoader 감염 체인]

 


[그림2. 피싱 메일]

 


[그림3. 허위 스트리밍 사이트]

 


[그림4. 악성 매크로가 숨겨진 액셀 파일]

 

 

 

Proofpoint는 "이렇게 인적 상호작용이 필요한 캠페인은 이번이 처음이 아니다. 2월에도 허위 콜 센터를 운영해 악성 파일을 다운로드 하도록 유도한 전적이 있으며 이러한 유형의 공격 방식을 BazarCall이라고 명명했다." 고 전했다. 또한, 엔터테이먼트 구독 관련 테마를 사용해 피싱 메일을 보내는 것은 쉽게 사용자를 설득하고 악성 코드를 효과적으로 감염시킬 수 있는 방법이다. 2020년 COVID-19 유행기간 동안 온라인 스트리밍 서비스가 급증해 많은 사용자들이 생겨났기 때문이다.

 

최근 2021년 데이터에 따르면 소비자들은 무료 구독을 통해 시청을 즐긴 뒤 평가판이 만료되면 취소하는 방식을 많이 사용하는 것으로 통계됬다. 보안 연구원들은 "BazarLoader는 이런점을 역으로 이용해 효과적인 공격을 수행할 수 있었다." 며 관련 피싱 메일이 왔을 경우 주의를 요구했다.

 

출처

 

https://cyware.com/news/fake-streaming-service-spreads-bazarloader-f8bdeeab

 

https://www.proofpoint.com/us/blog/threat-insight/bazaflix-bazaloader-fakes-movie-streaming-service

첨부파일 첨부파일이 없습니다.
태그 BazarLoader