재택 근무자 늘어난 상황 이용한 공격자들, 무료 소프트웨어로 피해자 유인해

요약 : 검색 결과를 조작함으로써 피해자들을 피싱 사이트로 이끄는 SEO 포이즈닝 공격이 발견됐다. 이번 캠페인에서 사용자들이 노리는 건 무료 생산성 앱을 찾는 사용자들이다. 무료 생산성 앱과 비슷한 키워드로 검색을 할 경우 공격자들이 손을 댄 악성 사이트가 결과에 노출되고, 여기에 클릭해 들어가면 유명 소프트웨어들의 ‘악성 버전’들이 다운로드 된다. 주로 뱃로더(BATLOADER)가 포함된 버전들이라고 한다.


배경 : 뱃로더가 설치되고 실행되면 차기 악성 페이로드가 다운로드 되고 설치된다. 즉 뱃로더는 일종의 다운로더로서 작동하는 것이다. 주로 아테라 에이전트(Atera Agent), 코발트 스트라이크 비컨(Cobalt Strike Beacon), 어즈니프(Ursnif)가 다운로드 된다.

말말말 : “재택 근무 혹은 원격 근무자가 늘어나면서 무료 생산성 앱을 찾는 사람들이 증가했습니다. 공격자들은 이런 사회적 현상을 노린 것으로 보입니다.” -맨디언트(Mandiant)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>