브라우저, 비밀번호 관리자를 표적으로 삼는 메두자 멀웨어
Windows 운영 체제를 노리는 새로운 멀웨어가 발견되었으며, 수많은 브라우저, 비밀번호 관리자, 암호화폐 지갑에서 정보를 훔치는 것으로 확인되었습니다.
메두자 스틸러는 아직 특정 공격과 연관되어 있지 않습니다. 그러나 이 멀웨어는 손상된 웹사이트와 피싱 이메일 등 정보 탈취범들이 사용하는 일반적인 방법을 통해 유포되는 것으로 의심됩니다.
일단 Meduza Stealer가 실행되면, Meduza Stealer는 Windows GetUserGeoID 함수를 사용하여 지리적 위치 확인을 시작합니다. 그런 다음 시스템이 러시아, 카자흐스탄, 벨라루스를 포함한 10개의 특정 국가 중 하나에 있는 경우 멀웨어가 작동을 중지합니다. 다른 국가에서는 컴퓨터 이름, CPU/GPU/RAM/하드웨어 세부 정보, 운영 체제 버전, 시간대, 현재 시간 등 감염된 시스템에 대한 기본 정보를 수집하기 시작하고 스크린샷을 찍습니다.
그런 다음 Meduza Stealer는 브라우저 기록, 쿠키, 로그인 및 웹 데이터와 같은 브라우저 관련 정보를 검색하여 사용자 데이터 폴더에서 데이터를 찾습니다. Chrome, Firefox, Microsoft Edge, Chromium, Amigo, URBrowser, Vivaldi, Kameta, UCBrowswe, NETGATE 등 약 97개의 브라우저 변형이 대상 목록에 포함되어 있습니다.
또한 이 멀웨어는 Authenticator 2FA, Trezor Password Manager, LastPass, 1Password, Authy, GAuth Authenticator, Dashlane Password Manager, Bitwarden Password Manager, Nord Pass, Keeper Password Manager, RoboForm 등을 포함한 19개의 비밀번호 관리자를 대상으로 합니다. 특히 데이터를 추출하려는 의도로 2단계 인증 및 비밀번호 관리자와 관련된 확장 프로그램을 표적으로 삼습니다.
또한, 메두자 스틸러는 암호화폐 자산 관리를 용이하게 하는 웹 브라우저에서 지갑 확장 프로그램을 추출하려고 시도함으로써 암호화폐 지갑에 대한 특별한 관심을 보여줍니다. 이러한 확장 프로그램은 크롬이나 파이어폭스와 같은 브라우저 내에서 직접 계정 잔액을 모니터링하고 거래를 수행할 수 있는 기능을 제공합니다.
Uptycs 위협 연구에 따르면, 메두자 스틸러의 관리자는 정교한 마케팅 방법을 사용하여 수많은 사이버 범죄 사이트에 바이러스를 퍼뜨리고 있습니다. 관리자는 잠재적 구매자를 유혹하기 위해 안티바이러스 소프트웨어의 탐지를 피할 수 있는 멀웨어의 능력을 증명하는 화면 캡처를 표시합니다. 또한 이 마케팅 활동은 웹 패널을 통해 다양한 가격대의 여러 멤버십을 선택할 수 있는 웹 패널을 통해 도난당한 데이터에 대한 액세스를 제공합니다.
이 글의 출처는 테크리퍼블릭의 기사입니다.