Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향백도어를 유포하는 새 악성 크롬 확장 프로그램 캠페인 발견
작성일 2021-12-07 조회 51

 

 

 

최근 Viber, WeChat, NoxPlayer, BattleField와 같이 인기있는 앱 및 게임을 대상으로 가짜 설치 프로그램을 유포, 설치 프로그램 내부에 데이터 탈취 목적의 악성 코드가 포함된 것을 Cisco Talos 연구원들이 발견했다. 연구원들은 해당 악성 코드가 Magnat이라는 알려지지 않은 그룹에 의해 유포된 것으로 보고 있으며 지속적인 개발이 이뤄지고 있다고 밝혔다.

 

공격은 2018년 말부터 시작된 것으로 보고 있으며 2021년 4월부터 공격이 급증했다. 이들의 주요 타겟으로는 캐나다, 미국, 호주, 이탈리아, 스페인 등 다양한 국가 사용자들을 삼고있으며 구글의 검색 엔진을 악용했다. 개인 사용자들이 인기있는 소프트웨어를 검색했을 때 허위글 및 광고를 노출시키며 악성 코드 설치를 유도한다. 

 

만약, 악성 코드가 실행되면 감염 PC의 데이터를 탈취하는 RedLine Infostealer, 원격 데스크톱을 액세스하는 SSH 터널 오픈, 크롬 확장 프로그램(MagnatExtension)이 추가로 설치된다. Talos는 "구글의 세이프 브라우징으로 가장한 MagnatExtension은 2018년 8월에 처음 발견된 애드온 샘플로 데이터 탈취, 쿠키 수집, 임의 자바스크립트 코드 실행 등을 수행할 수 있다" 고 언급했다.

 

추가로 MagnatExtension은 C2 통신도 수행할 수 있으며 하드코딩된 서버 주소를 사용하지만, 추가 C2 서버 업데이트 기능도 갖추고 있다. 이 때 #aquamba2019 또는 #olo2019와 같은 트위터의 해시태그 컨텐츠를 검색해 새로운 C2 주소를 획득할 수 있다.

 


[그림1. 악성 코드 흐름]

 


[그림2. Magnat 캠페인 타임라인]

 

 

 

연구원들은 "공격자가 Infostealer 및 트로이 목마와 유사한 크롬 확장 프로그램을 이용해 Credential 정보들을 모아 판매할 목적인 것으로 보인다. 추가로 RDP 백도어 설치 동기는 불분명 하지만 RDP 액세스 판매, 추가 악성코드 유포지 활용 등 다양한 방면에 활용될 수 있어 주의가 필요하다." 고 설명헀다.

 

출처:

 

https://blog.talosintelligence.com/2021/12/magnat-campaigns-use-malvertising-to.html

 

https://thehackernews.com/2021/12/new-malvertising-campaigns-spreading.html

첨부파일 첨부파일이 없습니다.
태그 Magnat