Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향트래픽 교환 네트워크에서 크랙 소프트웨어로 가장한 멀웨어 배포
작성일 2021-09-07 조회 209

 


인기 있는 비즈니스 및 소비자 애플리케이션의 "크랙" 버전을 찾는 피해자에게 악성코드 페이로드 번들을 제공하기 위해 "서비스로서의 드롭퍼(dropper as a service)" 역할을 하는 웹사이트 네트워크를 활용하는 진행 중인 캠페인이 발견되었다.


사이버 보안업체 Sophos의 연구진은 지난주 발간한 보고서에서 "이러한 악성코드에는 클릭 사기 봇, 기타 정보 도용자, 심지어 랜섬웨어 등 다양한 종류가 포함되어 있다"고 밝혔다.


공격은 WordPress에서 호스팅되는 여러 미끼 페이지를 이용하여 소프트웨어 패키지에 "다운로드" 링크를 포함하며, 이 링크를 클릭하면 Raccoon Stealer, Stop ransomware, Glupteba 백도어 및 바이러스 백신 솔루션으로 가장한 다양한 악성 암호 화폐 채굴기를 위한 설치 프로그램와 같은 잠재적으로 원하지 않는 브라우저 플러그인 및 악성 프로그램을 제공하는 다른 웹 사이트로 피해자를 리디렉션한다.


연구진은 "이러한 사이트에 도착한 방문자는 알림을 허용하라는 메시지가 표시되고, 이러한 일이 발생하도록 허용하면 웹사이트에서 반복적으로 잘못된 악성코드 경고를 발행하며 사용자가 경고를 클릭하면 방문자의 운영 체제, 브라우저 유형, 지리적 위치에 의해 결정되는 목적지에 도착할 때까지 일련의 웹사이트를 통해 안내된다"고 말했다.

 

 

 

[그림 1. InstallUSD가 맬웨어 드롭퍼를 서비스로 제공하는 방법]

 


검색 엔진 최적화와 같은 기술을 사용하여, 개인이 다양한 소프트웨어 앱의 불법 복제 버전을 검색할 때 웹사이트에 대한 링크가 검색 결과 상단에 나타난다.


유료 다운로드 서비스를 위한 지하 시장의 산물로 여겨지는 이 활동은 초급 사이버 행위자들이 지리적 목표에 따라 캠페인을 설정하고 조정할 수 있도록 한다.


배포 인프라라고도 불리는 트래픽 교환은 일반적으로 제휴사가 서비스에 계정을 만들고 설치 프로그램을 배포하기 전에 비트코인 결제가 필요하며, InstallBest와 같은 사이트는 다운로드자용 Cloudflare 기반 호스트 사용을 권장하는 등 등 "모범 사례"에 대한 조언을 제공하고 Discord의 CDN, Bitbucket 또는 기타 클라우드 플랫폼 내에서 URL을 사용한다. 

 

 

 

[그림 2. 비트코인 지불 화면]

 



[그림 3. 설치 프로그램 배포 설명 화면]

 

 

게다가 연구진은 웹사이트 게시자에게 트래픽에 대한 비용을 지불하는 기존 악성 광고 네트워크의 "중개자(go-betweens)" 역할을 하는 일부 서비스를 발견했다. 


이와 같이 확고한 트래픽 공급업체 중 하나는 파키스탄에 기반을 둔 광고 네트워크인 InstallUSD로, 크랙된 소프트웨어 사이트와 관련된 여러 악성 프로그램 캠페인과 연계되어 있다.


위협 행위자가 "warez" 웹사이트를 감염 벡터로 사용한 것은 이번이 처음이 아니고, 올해 6월 초 Crackonosh 라는 가상화폐 채굴자가 감염된 호스트의 자원을 몰래 착취해 Monero를 채굴하는 XMRig라는 코인 채굴 패키지를 설치하는 방법을 악용한 사실이 적발됐다.


한 달 후, MosaicLoader라는 맬웨어 배후의 공격자는 손상된 Windows 시스템을 봇넷으로 연결할 수 있는 완전한 기능을 갖춘 백도어를 배포하기 위한 글로벌 캠페인의 일환으로 크랙 소프트웨어를 검색하는 개인을 목표로 한 것으로 밝혀졌다.

 

 

 

출처
https://thehackernews.com/2021/09/traffic-exchange-networks-distributing.html

첨부파일 첨부파일이 없습니다.
태그 크랙  InstallUSD