보안 전문가가 코요테(Coyote)라는 뱅킹 멀웨어와 최근 공개된 매버릭(Maverick)이라는 악성 프로그램 사이의 유사점을 발견했다.   매버릭은 왓츠앱(WhatsApp)을 통해 유포된 것으로 알려졌다. 보안 기업의 보고서에 따르면, 두 멀웨어 변종은 모두 .NET으로 작성되었으며, 브라질 사용자와 은행을 표적으로 삼고, 뱅킹 URL을 표적으로 삼아 복호화하고 뱅킹 애플리케이션을 모니터링하는 동일한 기능을 갖추고 있다.    더 중요한 것은, 두 멀웨어 모두 왓츠앱 웹(WhatsApp Web)을 통해 확산하는 기능이 포함되어 있다는 점이다.   매버릭은 지난달 초 보안 기업에 의해 처음 문서화되었으며, 워터 사시(Water Saci)라는 위협 행위자의 소행으로 추정되었다.    이 캠페인은 두 가지 구성 요소로 이루어진다.   그중 하나는 왓츠앱 데스크톱 웹 버전을 통해 확산되며 매버릭 페이로드가 포함된 ZIP 아카이브를 전달하는 데 사용되는 SORVEPOTEL이라는 자가 전파 멀웨어이다.   이 멀웨어는 활성 브라우저 창 탭을 모니터링하여 하드코딩된 라틴 아메리카 금융 기관 목록과 일치하는 URL이 있는지 확인하도록 설계되었다.    URL이 일치하면 원격 서버에 접속하여 후속 명령을 가져오고, 시스템 정보를 수집하며, 피싱 페이지를 제공하여 자격 증명을 훔친다.   보안 기업은 이후 보고서에서 이 활동이 브라질 사용자를 표적으로 삼았던 이전의 코요테 유포 캠페인과 관련이 있는지, 그리고 매버릭이 코요테의 진화형인지에 대한 가능성을 처음으로 제기했다.    다른 보안 기업의 분석에서는 매버릭이 코요테와 많은 코드 중복성을 포함하고 있음을 발견했지만, 브라질을 대규모로 겨냥하는 완전히 새로운 위협으로 취급하고 있다고 언급했다.   보안 기업의 최신 연구 결과에 따르면, 이 ZIP 파일에는 윈도우 바로 가기(LNK) 파일이 포함되어 있으며, 사용자가 이를 실행하면 cmd.exe 또는 파워셸(PowerShell)이 실행되어 외부 서버("zapgrande[.]com")에 연결하고 1단계 페이로드를 다운로드한다.    이 파워셸 스크립트는 마이크로소프트 디펜더 안티바이러스(Microsoft Defender Antivirus)와 사용자 계정 컨트롤(UAC)을 비활성화하도록 설계된 중간 도구를 실행하고 .NET 로더를 가져올 수 있다.   이 로더는 리버스 엔지니어링 도구의 존재 여부를 확인하고 발견 시 자가 종료하는 안티 분석 기술을 특징으로 한다.    그런 다음 로더는 공격의 주요 모듈인 SORVEPOTEL과 매버릭을 다운로드한다.    여기서 주목할 점은, 매버릭은 감염된 호스트의 시간대, 언어, 지역, 날짜 및 시간 형식을 확인하여 피해자가 브라질에 위치한 것을 확인한 후에만 설치된다는 것이다.   보안 기업은 이 멀웨어가 브라질의 호텔을 특정하여 표적으로 삼는 데 사용된 증거도 발견했으며, 이는 표적 확대 가능성을 시사한다고 밝혔다. 이번 폭로는, 트렌드 마이크로가 이메일 기반 C2(명령 및 제어) 인프라를 사용하고, 복원력을 위해 다중 벡터 지속성(multi-vector persistence)에 의존하며, 탐지 회피, 작전상 은밀함 강화, 포르투갈어 시스템에서만 실행되도록 제한하는 여러 고급 검사 기능을 통합한 워터 사시(Water Saci)의 새로운 공격 체인을 상세히 공개하면서 나왔다.   "새로운 공격 체인은 또한 정교한 원격 C2 시스템을 갖추고 있어 위협 행위자가 멀웨어 캠페인의 일시 중지, 재개, 모니터링 등 실시간 관리를 할 수 있게 하며, 감염된 기기를 여러 엔드포인트에서 조정되고 동적인 작업을 위한 봇넷 도구로 효과적으로 전환시킨다."라고 이 보안 기업은 지난달 말 발표된 보고서에서 밝혔다.     [그림 1. 워터 사시(Water Saci) 공격 체인]     이 감염 시퀀스는 .NET 바이너리 대신 비주얼 베이직 스크립트(VB Script)와 파워셸을 사용하여 왓츠앱 브라우저 세션을 탈취하고 메시징 앱을 통해 ZIP 파일을 유포한다.    이전 공격 체인과 유사하게, 왓츠앱 웹 하이재킹은 브라우저 자동화를 위해 크롬드라이버(ChromeDriver)와 셀레늄(Selenium)을 다운로드하여 수행된다.   공격은 사용자가 ZIP 아카이브를 다운로드하고 압축을 풀 때 시작된다.   이 아카이브에는 난독화된 VBS 다운로더("Orcamento.vbs", 일명 SORVEPOTEL)가 포함되어 있으며, 이는 다시 파워셸 명령을 실행하여 파워셸 스크립트("tadeu.ps1")를 메모리에서 직접 다운로드하고 실행한다.   이 파워셸 스크립트는 피해자의 왓츠앱 웹 세션을 제어하고 계정과 관련된 모든 연락처에 악성 ZIP 파일을 배포하는 데 사용되며, 동시에 악의적인 의도를 숨기기 위해 "WhatsApp Automation v6.0"이라는 기만적인 배너를 표시한다.    또한 이 스크립트는 C2 서버에 접속하여 메시지 템플릿을 가져오고 연락처 목록을 유출한다.     [그림 2. 워터 사시(Water Saci) 캠페인 타임라인]     보안 기업은 "멀웨어는 깨끗한 작동을 보장하기 위해 기존의 모든 크롬 프로세스를 종료하고 이전 세션을 지운 후, 피해자의 합법적인 크롬 프로필 데이터를 임시 작업 공간으로 복사한다."   "이 데이터에는 쿠키, 인증 토큰, 저장된 브라우저 세션이 포함된다."라고 말했다.   "이 기술을 통해 멀웨어는 왓츠앱 웹의 인증을 완전히 우회하여, 보안 경고를 유발하거나 QR 코드 스캔을 요구하지 않고도 피해자의 왓츠앱 계정에 즉시 접근할 수 있다."   보안 기업은 이 멀웨어가 정교한 원격 제어 메커니즘을 구현하여 공격자가 왓츠앱 전파를 실시간으로 일시 중지, 재개 및 모니터링할 수 있게 함으로써, 감염된 호스트를 봇처럼 제어할 수 있는 멀웨어로 효과적으로 변모시킨다고 덧붙였다.   실제로 ZIP 아카이브를 배포하는 방법에 관해서는, 파워셸 코드가 수집된 모든 연락처를 순회하며 메시지 템플릿의 변수를 시간 기반 인사말과 연락처 이름으로 대체하여 개인화된 메시지를 보내기 전에 일시 중지 명령이 있는지 확인한다.   SORVEPOTEL의 또 다른 중요한 측면은 기존의 HTTP 기반 통신을 사용하는 대신, 하드코딩된 이메일 자격 증명을 사용하여 terra.com[.]br 이메일 계정에 대한 IMAP 연결을 활용하여 이메일 계정에 연결하고 명령을 검색한다는 것이다.   이러한 계정 중 일부는 무단 접근을 방지하기 위해 다중 인증(MFA)을 사용하여 보안이 설정되어 있다.   이 추가된 보안 계층은 위협 행위자가 받은 편지함에 접근하고 명령을 보내는 데 사용되는 C2 서버 URL을 저장하기 위해 매번 로그인할 때마다 수동으로 일회용 인증 코드를 입력해야 하므로 운영상 지연을 초래한 것으로 알려졌다.    이후 백도어는 주기적으로 C2 서버를 폴링하여 지침을 가져온다.   지원되는 명령 목록은 다음과 같다. INFO: 상세 시스템 정보 수집 CMD: cmd.exe를 통해 명령 실행 및 실행 결과를 임시 파일로 내보내기 POWERSHELL: 파워셸 명령 실행 SCREENSHOT: 스크린샷 캡처 TASKLIST: 실행 중인 모든 프로세스 나열 KILL: 특정 프로세스 종료 LIST_FILES: 파일/폴더 나열 DOWNLOAD_FILE: 감염된 시스템에서 파일 다운로드 UPLOAD_FILE: 감염된 시스템으로 파일 업로드 DELETE: 특정 파일/폴더 삭제 RENAME: 파일/폴더 이름 변경 COPY: 파일/폴더 복사 MOVE: 파일/폴더 이동 FILE_INFO: 파일에 대한 상세 메타데이터 가져오기 SEARCH: 지정된 패턴과 일치하는 파일 재귀적으로 검색 CREATE_FOLDER: 폴더 생성 REBOOT: 30초 지연 후 시스템 재시작 SHUTDOWN: 30초 지연 후 시스템 종료   UPDATE: 자체 업데이트 버전 다운로드 및 설치 CHECK_EMAIL: 공격자가 제어하는 이메일에서 새로운 C2 URL 확인   이 캠페인이 광범위하게 퍼진 원동력은 브라질에서의 왓츠앱 인기 때문이며, 브라질은 1억 4,800만 명 이상의 활성 사용자를 보유하여 인도에 이어 세계에서 두 번째로 큰 시장이다.   보안 기업은 "감염 방법과 지속적인 전술적 진화, 그리고 지역 중심의 표적 설정은 워터 사시가 코요테와 연관되어 있을 가능성이 높으며, 두 캠페인 모두 동일한 브라질 사이버 범죄 생태계 내에서 운영되고 있음을 나타낸다."라고 말하며, 공격자들이 "양과 질" 면에서 공격적이라고 설명했다.   "워터 사시 캠페인을 코요테와 연결시키는 것은 뱅킹 트로이목마의 전파 방식에 중대한 변화가 있음을 보여주는 더 큰 그림을 드러낸다."   "위협 행위자들은 기존의 페이로드에 의존하는 방식에서 벗어나, 은밀하고 확장 가능한 공격을 위해 합법적인 브라우저 프로필과 메시징 플랫폼을 악용하는 방식으로 전환했다."       출처 https://thehackernews.com/2025/11/whatsapp-malware-maverick-hijacks.html

    GootLoader로 알려진 악성코드가 지난 3월 초 잠시 급증한 후 다시금 부상했다.   한 보안 회사는 2025년 10월 27일 이후 3건의 GootLoader 감염을 관찰했다고 밝혔다.   이 중 2건은 초기 감염 후 17시간 이내에 도메인 컨트롤러가 장악되는 수동 공격(hands-on keyboard)으로 이어졌다.   한 보안 연구원은 "GootLoader가 문자 대체를 이용하는 맞춤형 WOFF2 폰트를 활용하여 파일명을 난독화하고 있다"고 말했다.   또한 "이 악성코드는 WordPress 댓글 엔드포인트를 악용하여 파일별 고유 키로 XOR 암호화된 ZIP 페이로드를 전달한다"고 덧붙였다.   Hive0127(일명 UNC2565)로 추적되는 위협 행위자와 연관된 GootLoader는 JavaScript 기반 악성코드 로더이다.   이는 종종 랜섬웨어 등 추가 페이로드를 전달하기 위해 검색 엔진 최적화(SEO) 포이즈닝 전술을 통해 배포된다.   지난 9월 한 보안 회사는 Vanilla Tempest로 불리는 위협 행위자가 Storm-0494로부터 GootLoader 감염을 인계받는다고 밝혔다.   이들은 확보한 접근 권한을 이용해 Supper(일명 SocksShell 또는 ZAPCAT)라는 백도어와 원격 접근을 위한 AnyDesk를 드롭한다.   이러한 공격 체인은 INC 랜섬웨어 배포로 이어졌다. Supper는 Interlock 랜섬웨어와 주로 연관된 또 다른 악성코드인 Interlock RAT(일명 NodeSnake)와 함께 분류되기도 했다. 한 보안 회사는 지난달 "Interlock이 Supper를 사용했다는 직접적인 증거는 없지만, Interlock과 Vice Society 모두 다른 시기에 Rhysida와 연관되어 광범위한 사이버 범죄 생태계에서 중복 가능성을 시사한다"고 언급했다.   그리고 올해 초, GootLoader의 배후에 있는 위협 행위자는 Google Ads를 활용한 것이 발견되었다.   이들은 검색 엔진에서 계약서와 같은 법률 서식 파일을 찾는 피해자를 표적으로 삼아 악성 ZIP 아카이브를 호스팅하는 감염된 WordPress 사이트로 리디렉션했다.   한 보안 회사가 문서화한 최신 공격 시퀀스는 Bing에서 "missouri cover utility easement roadway"와 같은 용어를 검색하는 것이 ZIP 아카이브를 전달하는 데 사용되고 있음을 보여준다.   이번에 주목할 점은 정적 분석 방법을 무력화하기 위해 브라우저에 표시되는 파일명을 난독화하는 맞춤형 웹 폰트를 사용한다는 것이다.   [그림 1. 폰트 트릭을 이용한 파일명 난독화]     연구원은 "사용자가 파일명을 복사하거나 소스 코드를 검사하려고 하면 ‛›μI€vSO₽*’Oaμ==€‚‚33O%33‚€×:O[TM€v3cwv,와 같은 이상한 문자를 보게 될 것이다"라고 설명했다.   "하지만 피해자의 브라우저에서 렌더링될 때, 이 동일한 문자는 마법처럼 Florida_HOA_Committee_Meeting_Guide.pdf와 같이 완벽하게 읽을 수 있는 텍스트로 변환된다."   "이는 Gootloader가 Z85 인코딩(32KB 폰트를 40K로 압축하는 Base85 변형)을 사용하여 페이지의 JavaScript 코드에 직접 삽입하는 맞춤형 WOFF2 폰트 파일을 통해 달성된다."   또한 ZIP 파일을 수정하여 VirusTotal, Python의 ZIP 유틸리티 또는 7-Zip과 같은 도구로 열 때 무해해 보이는 .TXT 파일로 압축이 풀리도록 하는 새로운 속임수도 관찰되었다.   Windows 파일 탐색기에서는 이 아카이브가 의도된 페이로드인 유효한 JavaScript 파일을 추출한다.   'GootLoader'라는 가명으로 이 악성코드를 오랫동안 추적해 온 한 보안 연구원은 이러한 진화에 대해 "이 간단한 회피 기술은 자동화된 분석으로부터 페이로드의 실제 본질을 숨김으로써 공격자에게 시간을 벌어준다"고 말했다.   아카이브 내에 존재하는 JavaScript 페이로드는 원격 제어 및 SOCKS5 프록시가 가능한 백도어인 Supper를 배포하도록 설계되었다.   적어도 한 사례에서 위협 행위자들은 Windows Remote Management(WinRM)를 사용하여 도메인 컨트롤러로 수평 이동하고 관리자 수준 접근 권한을 가진 새 사용자를 생성한 것으로 알려졌다.   한 보안 회사는 "Supper SOCKS5 백도어는 간단한 기능을 보호하기 위해 지루한 난독화를 사용한다"고 밝혔다.   "API 해머링, 런타임 셸코드 구성, 맞춤형 암호화는 분석을 어렵게 하지만, 핵심 기능은 의도적으로 SOCKS 프록시 및 원격 셸 접근과 같은 기본 수준에 머물러 있다."   "이 '적당히 좋은' 접근 방식은 제대로 난독화된 기본 도구만으로도 목표를 달성할 수 있다면 위협 행위자가 최첨단 익스플로잇을 필요로 하지 않는다는 것을 증명한다."     출처 https://thehackernews.com/2025/11/gootloader-is-back-using-new-font-trick.html

    보안 연구원들이 합법적인 "@actions/artifact" 패키지를 타이포스쿼팅(typosquatting)하여 깃허브(GitHub) 소유의 리포지토리를 표적으로 삼으려는 악성 npm 패키지 "@acitons/artifact"를 발견했다.   보안 기업은 분석 보고서에서 "공격 의도는 깃허브 소유 리포지토리의 빌드 과정에서 이 스크립트가 실행되도록 하여, 빌드 환경에서 사용 가능한 토큰을 탈취한 다음, 이 토큰을 사용해 깃허브 계정으로 새로운 악성 아티팩트를 게시하려는 것이었던 것으로 보인다"라고 밝혔다.   보안 기업은 해당 패키지의 4.0.12부터 4.0.17까지 6개 버전에서 멀웨어를 다운로드하고 실행하는 'post-install hook'이 포함된 것을 확인했다고 말했다.    하지만 현재 npm에서 다운로드 가능한 최신 버전은 4.0.10이며, 이는 패키지 배후의 공격자인 'blakesdev'가 문제의 버전들을 모두 삭제했음을 의미한다.   이 패키지는 2025년 10월 29일에 처음 업로드되었으며, 이후 주간 다운로드 31,398회를 기록했다.    npm-stat의 데이터에 따르면, 총 다운로드 횟수는 47,405회이다.    보안 기업은 또한 유사한 기능을 가진 "8jfiesaf83"이라는 또 다른 npm 패키지도 확인했다고 밝혔다.    이 패키지는 현재 다운로드할 수 없지만, 1,016회 다운로드된 것으로 보인다.   악성 버전 중 하나를 추가 분석한 결과, postinstall 스크립트가 지금은 삭제된 깃허브 계정에서 "harness"라는 이름의 바이너리를 다운로드하도록 설정된 것이 드러났다.    이 바이너리는 난독화된 셸 스크립트로, 2025년 11월 6일(UTC) 이후에는 실행을 중지하는 검사 기능이 포함되어 있다.       [그림 1. 악성 npm 패키지의 데이터 탈취(Exfiltration) 함수]   또한 "verify.js"라는 자바스크립트 파일을 실행하도록 설계되었는데, 이 파일은 깃허브 액션 워크플로우의 일부로 설정된 특정 'GITHUB_' 변수의 존재 여부를 확인하고, 수집된 데이터를 암호화된 형식으로 "app.github[.]dev" 하위 도메인에서 호스팅되는 텍스트 파일로 유출한다.   보안 기업은 "이 멀웨어는 깃허브 조직이 소유한 리포지토리만을 표적으로 삼았으며, 이는 깃허브에 대한 표적 공격임을 의미한다"라고 말했다.    "이 캠페인은 깃허브 자체 리포지토리와 더불어 공개 활동이 없는 'y8793hfiuashfjksdhfjsk'라는 사용자를 표적으로 삼은 것으로 보인다."   "이 사용자 계정은 테스트용일 수 있다."       출처 https://thehackernews.com/2025/11/researchers-detect-malicious-npm.html