Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향가짜 스트리밍 사이트로 배포되는 BazarLoader 멀웨어
작성일 2021-05-28 조회 65

 

 

보안 연구원들이 자동화된 위협 탐지 시스템을 우회하여 TrickBot 그룹의 BazarLoader 악성 코드를 전달하는 새로운 BazarCall 이메일 피싱 캠페인을 발견했다.

 

BazarCall 이메일은 이달 초 온라인 서비스에 대한 카드 청구서인 것처럼 가장했다.

 
 
 
[그림1. 감염 체인]
 
 
 
BazarCall은 연초부터 사용된 새로운 피싱 방법으로, 콜 센터를 통해 사용자를 악성 코드가 포함된 문서를 다운로드하도록 유도한다.

 

온라인 서비스의 체험 기간이 끝났음을 알리고 구독 요금을 청구하기 시작하는데 이는 사회 공학 및 사용자 상호 작용에 크게 의존한다.

 

최근 Proofpoint의 연구원들이 발견한 캠페인에서 스트리밍 엔터테인먼트 서비스에서 보낸 것으로 추정되는 메시지는 체험판/데모가 곧 만료되며 프리미엄 요금제 요금이 부과될 예정임을 알리는 내용이었다.

 

 

 

[그림2. 캠페인에 사용된 요금제 알림]

 

 

이메일에는 수신자가 구독을 취소하기 위해 전화를 걸 수 있는 전화 번호가 함께 제공된다.

 

해당 전화번호는 UrbanCinema라는 회사의 "BravoMovies"라는 스트리밍 및 TV 서비스 웹 사이트를 가리켰고 Proofpoint는 BazaFlix라는 이름을 사용하여이 캠페인을 추적했다.

 

연구원들은 해당 웹 사이트가 광고 대행사, 창의적인 소셜 네트워크 Behance, 책 “개를 훔치는 방법”을 포함한 다양한 공공 출처의 영화 포스터를 사용하여 충분히 현실적으로 보인다고 말한다.

 

BravosMovies 스트리밍 서비스 구독 취소 지침에 따라 사용자는 BazarLoader 멀웨어를 설치하는 매크로가 포함된 악성 Excel 문서를 다운로드하게된다.

 

 

 

[그림3. 캠페인에 사용된 악성 엑셀 파일]

 

 

멀웨어는 다른 악성 파일을 다운로드하고 실행하는데 사용되지만 캠페인에 대한 2단계 페이로드는 발견되지 않았다.

 

BazarLoader는 작년 4월에 등장했으며 코드 유사성과 사용된 인프라로 인해 TrickBot 트로이 목마와 동일한 개발자가 개발한 것으로 추정된다.

 

TrickBot 그룹은 Ryuk 및 Conti 랜섬웨어를 유명한 기업 등을 대상으로 배포하는 것으로 악명이 높으며 BazarLoader는 많이 탐지되는 트로이 목마를 사용하지 않는 또 다른 캠페인이다.

 

BazaCall 악성 코드는 1월 말에 전파되기 시작해 3월 말까지 계속되었다.

 

이전 캠페인은 의약품, 꽃, 란제리, 의료 또는 바이러스 백신 비즈니스의 회사와 관련된 가짜 구독 알림으로 유인했다.

 

BazarLoader와 TrickBot은 같은 그룹에서 만든 것으로 여겨지지만 콜 센터는 멀웨어 배포를 위해 임대하는 다른 그룹에 의해 운영될 가능성이 있다.

 

 

 

출처

https://www.bleepingcomputer.com/news/security/new-bazaflix-attack-pushes-bazarloader-malware-via-fake-movie-site/

https://www.proofpoint.com/us/blog/threat-insight/bazaflix-bazaloader-fakes-movie-streaming-service

 

첨부파일 첨부파일이 없습니다.
태그 Bazaflix  BazaCall  BazarLoader