|
정보 도용 멀웨어를 배포하는 가짜 Microsoft Store, Spotify 침해사고분석팀 2021.04.21 |
|
|
웹 브라우저에 저장된 신용 카드와 암호를 훔치기 위해 맬웨어를 배포하는 Microsoft Store, Spotify 및 온라인 문서 변환기를 가장하는 사이트를 홍보하는 것이 관찰되었다.
이 공격은 사이버 보안 회사인 ESET이 어제 트위터에서 악성 캠페인을 경계하라는 경고를 발표했다.
ESET의 위협 탐지 연구소 책임자 Jiri Kropac은 공격이 합법적인 애플리케이션으로 보이는 것을 홍보하는 악성 광고를 통해 수행된다고 말했다.
예를 들어, 이 공격에 사용된 광고 중 하나는 아래와 같이 온라인 체스 애플리케이션을 홍보한다.
[그림1. 가짜 체스 앱을 홍보하는 악성 광고]
그러나 사용자가 광고를 클릭하면 Amazon AWS 서버에서 자동으로 다운로드되는 가짜 'xChess 3' 온라인 체스 애플리케이션의 가짜 Microsoft Store 페이지로 이동한다. 다운로드한 zip 파일의 이름은 'xChess_v.709.zip'이며 실제로는 'Ficker' 또는 'FickerStealer'라는 이름의 정보 도용 멀웨어이다.
[그림2. Ficker 멀웨어를 배포하는 가짜 Microsoft Store 페이지]
이 멀웨어 캠페인의 다른 광고는 Spotify 또는 온라인 문서 변환기인 것처럼 가장한다.
방문하면 방문 페이지에서 Ficker 맬웨어가 포함된 zip파일도 자동으로 다운로드한다.
[그림3. 가짜 Spotify 랜딩 페이지]
사용자가 파일의 압축을 풀고 실행 파일을 실행하면 새로운 온라인 체스 응용 프로그램이나 Spotify 소프트웨가 시작되는 대신 Ficker 맬웨어가 실행되어 컴퓨터에 저장된 데이터를 훔치기 시작한다.
Ficker는 개발자가 다른 위협 행위자에게 멀웨어를 대여하기 시작한 1월에 러시아어를 사용하는 해커 포럼에 공개된 정보 도용 트로이 목마이다. 포럼 게시물에서 개발자는 멀웨어의 기능을 설명하고 다른 위협 행위자가 1주일에서 최대 6개월 동안 누구에게나 소프트웨어를 대여할 수 있도록했다.
[그림4. FickerStealer 멀웨어 판매글]
이 맬웨어를 사용하여 위협 행위자는 웹 브라우저, 데스크톱 메시징 클라이언트(Pidgin, Steam, Discord) 및 FTP 클라이언트에서 저장된 자격 증명을 훔칠 수 있다. 암호를 훔치는 것 외에도 개발자는 악성 코드가 15개 이상의 암호 화폐 지갑, 문서를 훔치고 피해자의 컴퓨터에서 실행중인 활성 애플리케이션의 스크린 샷을 찍을 수 있다고 주장했다.
해당 정보는 zip 파일로 컴파일되어 공격자에게 다시 전송되고 이 데이터를 추출하여 다른 악의적인 활동에 사용할 수 있다.
이 캠페인의 피해자는 즉시 암호를 변경하고 컴퓨터에 대한 철저한 바이러스 백신 검사를 수행하여 추가 멀웨어를 확인할 것을 권고한다.
출처 https://www.bleepingcomputer.com/news/security/fake-microsoft-store-spotify-sites-spread-info-stealing-malware/ |
