Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향피해자의 암호화폐 지갑을 훔치는 가짜 Binance NFT Mystery Box
작성일 2022-05-16 조회 3664

GB Master Kung Mystery Box

 

 

새로운 RedLine 악성코드 배포 캠페인은 사람들이 GitHub 저장소의 정보를 훔치는 악성코드에 감염되도록 유인하기 위해 가짜 Binance NFT Mystery Box 봇을 YouTube에서 홍보한다.

 

Binance Mystery Box는 사람들이 독특하거나 희귀한 아이템을 헐값에 받기를 바라며 사는 랜덤 NFT(Non-functible Token) 아이템 세트이다. 

 

이 박스들에서 발견되는 NFT 중 일부는 온라인 블록체인 게임 내에서 희귀 화장품이나 페르소나를 추가하는 데 사용될 수 있다.

 

Mystery Box는 사람들에게 미지의 즐거움과 희귀한 NFT를 착륙시키면 큰 월급날이 올 수 있는 가능성을 주기 때문에 NFT 시장에서 유행하고 있다. 

 

하지만, Binance와 같은 시장에서는 그것들을 제한된 수로 제공하고, 그것들이 다 떨어지기 전에 어떤 상자들을 구하기 어렵게 만든다.

 

관심 있는 구매자들이 종종 "봇"을 배치하여 획득하는 이유는 바로 이러한 위협 행위자들이 이용하려는 핫 트렌드이기 때문이다.

 

Netscope의 새로운 보고서에 따르면, 공격자는 잠재적인 피해자들이 그들의 컴퓨터에 악성코드를 다운로드하여 설치하도록 유인하기 위해 유튜브 비디오를 만들고 있으며, 그들이 무료 mystery box scalper 봇을 받는다고 생각하고 있다.

 

 

Malicious YouTube videos

 

[그림 1. 악의적인 YouTube 동영상 (Netskope)]

 

 

Bleeping Computer는 나열된 동영상이 비록 조회 수는 낮지만 여전히 YouTube에서 볼 수 있다고 확인했다.

 

Netskope에 의해 포착된 것보다 훨씬 더 많을 가능성이 있으며, 더 높은 조회 수를 가진 이전의 사기 비디오들이 YouTube 진행자들에 의해 보도되고 삭제되었을 가능성도 있다.

 

공격자는 2022년 3월과 4월 사이에 비디오를 업로드했으며, 이들은 모두 봇을 호스팅하는 것으로 추정되지만 실제로는 RedLine을 배포하는 GitHub 저장소에 대한 링크를 특징으로 한다.

 

 

Video description leading to a GitHub download

 

[그림 2. GitHub 다운로드로 이어지는 비디오 설명 (Netskope)]

 

 

삭제된 파일의 이름은 "Binance NFT.bot_v1.3.zip"이며, 비슷한 이름의 실행 파일인 페이로드, 비주얼 C++ 설치 프로그램, README.txt 파일을 포함하고 있다.

 

 

Files contained in the dropped ZIP archive

 

[그림 3. 드롭된 ZIP (Netskope)]

 

 

RedLine은 프로그램이 에서 개발되었으므로 VC 재배포 가능 설치 관리자를 실행해야 한다.

 

NET. 텍스트 파일에는 공격 대상자에 대한 설치 지침이 포함되어 있다.

 

 

Readme file instructions

 

[그림 4. Readme 파일 지침 (Netskope)]

 

 

이 캠페인에서 RedLine은 악성 프로그램이 호스트 컴퓨터에서 해당 국가를 러시아, 우크라이나, 벨라루스, 아르메니아, 아제르바이잔, 카자흐스탄, 몰도바, 우즈베키스탄, 타지키스탄 또는 키르기스스탄으로 탐지할 경우 종료되도록 구성되었다.

 

Netskope가 본 RedLine 캠페인 외에도, BleepingComputer는 무료 'Binance NFT 봇'을 홍보하는 새로운 유튜브 캠페인을 주목했다.

 

 

Newer Binance NFT bot scams on YouTube

 

[그림 5. YouTube의 최신 Binance NFT 봇 사기 (BleepingComputer)]

 

 

그러나 이러한 캠페인은 MediaFire에서 호스팅되는 다운로드로 리디렉션되는 rebrand.ly URL을 사용하고 있다. 

 

VirusTotal에 따르면, 이 캠페인은 또한 비밀번호를 훔치는 트로이 목마를 배포하고 있다.

 

RedLine은 여러 공격자에 의해 다양한 방식으로 배포되는 정보 도용 악성 프로그램 분야에서 매우 인기 있고 강력한 위협이다.

 

현재 월 100달러에 가입모델로 독립 운영사에 판매되고 있으며 웹 브라우저의 로그인 비밀번호와 쿠키, 채팅 앱의 데이터, VPN 자격 증명, 암호화폐 지갑 등의 도용을 지원한다.

 

이번과 같은 암호화폐를 주제로 한 캠페인에서는 피해자가 디지털 자산과 암호화폐를 소유하는 것이 전형적이어서 금전적 피해가 더욱 크다.

 

항상 명심해야 할 점은 YouTube나 GitHub 같은 플랫폼의 정당성이 이들 사이트에 대한 업로드 확인과 조정 절차가 부족하기 때문에 콘텐츠 신뢰도와 자동적으로 동일하지 않다는 점이다.

 

작고 잘 알려지지 않은 YouTube 채널에서 업로드한 동영상 아래 또는 위에 제공된 링크를 클릭하고 실행 파일을 다운로드한 다음 시스템에서 실행하는 것은 결코 좋은 방법이 아니다.

 

 

 

 

 

출처
https://www.bleepingcomputer.com/news/security/fake-binance-nft-mystery-box-bots-steal-victims-crypto-wallets/

첨부파일 첨부파일이 없습니다.
태그 Mystery Box