기술 지원
문서
로그인
문의하기
MasquerAds: 구글 광고를 속이는 멀웨어 캠페인
2023년 1월 10일 TuxCare 홍보팀
가디오 랩의 보고서에 따르면, 'MasquerAds' 멀웨어는 구글 광고 플랫폼을 사용하여 인기 소프트웨어 제품을 검색하는 사용자에게 멀웨어를 퍼뜨리는 방식으로 조직, GPU, 암호화폐 지갑을 표적으로 삼습니다.
멀웨어를 운영하는 위협 행위자는 검색 엔진에서 홍보되는 가짜 사이트 네트워크를 설정한다고 합니다. 방문자가 이 가짜 사이트를 클릭하면 트로이 목마에 감염된 ZIP 아카이브가 포함된 피싱 페이지로 리디렉션되며, 이 페이지는 Dropbox 또는 OneDrive에서 호스팅됩니다.
그런 다음 위협 행위자는 오타 스쿼트된 도메인 이름을 원래 브랜드와 최소 한 글자 이상 다른 URL로 등록합니다. 사용자가 마스커애드를 클릭하면 악성 소프트웨어 다운로드 링크가 있는 피싱 사이트로 이동하게 되는데, 일반적으로 라쿤 스틸러 또는 비다르입니다.
그런 다음 Google과 잘 알려진 소프트웨어 회사의 영향력과 신뢰도를 활용하여 치명적인 공격을 가합니다. 또한 Dropbox와 같은 평판이 좋은 파일 공유 서비스를 사용하여 악성 멀웨어를 유포합니다. AnyDesk, Dashlane, Grammarly, Malwarebytes, Microsoft Visual Studio, MSI Afterburner, Slack, Zoom, Audacity, OBS, Libre Office, Teamviewer, Thunderbird, Brave 등과 같은 합법적인 소프트웨어로 사칭합니다.
한편, 가디오 랩은 이러한 활동의 상당 부분을 Vermux로 알려진 위협 행위자의 소행으로 보고 있으며, 이 공격자가 "방대한 브랜드 목록을 악용하고 계속 진화하고 있다"고 지적합니다.
가디오 랩스의 나티 탈은 문법 소프트웨어를 검색하는 사용자의 예를 사용했습니다. 사용자가 "grammarly"를 검색하면 원본과 한 글자만 다른 URL로 연결될 수 있다고 주장합니다. 이 경우 "gramm-arly.com"입니다. 이 사이트는 공식 Grammarly 웹사이트인 것처럼 보이므로 사용자는 이 사이트가 진짜라고 믿게 됩니다.
그러면 방문자는 합법적인 웹사이트로 이동합니다: Christian Heating and Air Conditioning으로 연결됩니다. 사용자가 링크를 클릭하면 서버는 새로운 이름의 피싱 사이트로 리디렉션하지만, 사칭 사이트에서 다운로드하는 모든 항목에는 멀웨어가 포함되어 있습니다. 리디렉션은 서버 측에서 발생하기 때문에 Google은 피싱 사이트를 감지하지 못합니다.
또한 피싱 사이트에서 Grammarly를 다운로드하는 대상은 합법적인 버전의 Grammarly를 받게 됩니다. 그러나 여기에는 백그라운드에서 피해를 유발하는 실행 파일이 함께 제공됩니다. 해당 멀웨어는 파일 크기가 500MB를 초과할 정도로 부풀려져 있습니다. 또한 코드의 1% 미만이 악성 스니펫으로 오염되어 있습니다. 따라서 대부분의 탐지 도구의 레이더망을 피할 수 있습니다. MasquerAds는 정기적으로 페이로드의 멀웨어를 변경하여 다운로드 가능한 Grammarly.exe 파일에 영향을 주지 않고 공급업체를 전환합니다.
이 글의 출처는 TheHackerNews의 기사입니다.
