민감한 데이터를 노리는 새로운 난독화 멀웨어

연구원들이 피해자의 컴퓨터에서 민감한 데이터를 훔치도록 특별히 설계된 새로운 유형의 난독화 멀웨어를 발견했습니다. 멀웨어는 합법적으로 보이지만 피해자의 컴퓨터에 멀웨어를 다운로드하는 악성 웹사이트로 연결되는 링크가 포함된 피싱 이메일을 통해 배포됩니다.

보안 연구원이자 저널리스트인 악스 샤르마는 "이러한 패키지의 대부분은 의도적으로 사람들을 혼란스럽게 하기 위해 잘 고안된 이름을 가지고 있습니다."라고 말합니다. 헥스로 된 파이썬 "바이트 객체"가 포함된 50줄과 54줄은 기본적으로 펜테스팅 도구인 Metasploit [VirusTotal 분석]에서 생성된 Meterpreter 트로이 목마인 Linux 바이너리(ELF) 파일을 생성합니다. 이 파일은 고도로 제거되고 난독화되어 있어 분석을 방해합니다. 미터프리터 페이로드는 인메모리에서 실행되며 공격자가 감염된 시스템에 셸 액세스 권한을 얻을 수 있게 해줍니다.

일단 설치되면 이 멀웨어는 페이로드를 암호화하고 코드 난독화를 사용하는 등 탐지를 피하기 위해 다양한 기술을 사용합니다. 또한 이 멀웨어는 정상적인 네트워크 트래픽으로 위장하여 보안 소프트웨어와 방화벽을 회피할 수 있습니다.

문제가 된 패키지는 약 450회 다운로드된 후 삭제된 aptx, bingchilling2, httops 및 tkint3rs입니다. aptx는 널리 사용되는 퀄컴의 같은 이름의 오디오 코덱을 모방하려는 시도이며, httops와 tkint3rs는 각각 https와 tkinter의 철자를 잘못 표기한 것입니다.

이 멀웨어는 사용자 이름, 비밀번호, 신용 카드 번호 및 기타 금융 정보와 같은 민감한 정보를 훔치기 위한 것입니다. 민감한 정보를 캡처하기 위해 스크린샷을 찍고 키 입력을 기록하기도 합니다.

그런 다음 코드는 ".ssh" 폴더에 "인증된 키" 파일을 생성/수정하려고 시도합니다. 이렇게 하면 공격자가 감염된 시스템에 나중에 연결할 수 있는 SSH 백도어를 훨씬 더 쉽게 설치할 수 있습니다.

연구진에 따르면 이 멀웨어는 표적이 된 조직에서 민감한 정보를 훔치기 위한 대규모 캠페인의 일부라고 합니다. 연구진은 기업들에게 네트워크에서 의심스러운 활동이 있는지 모니터링하고 보안 소프트웨어를 최신 패치로 최신 상태로 유지할 것을 권고했습니다.

이 글의 출처는 TheHackerNews의 기사입니다.

요약

기사 이름

민감한 데이터를 노리는 새로운 난독화 멀웨어

설명

연구원들이 피해자의 컴퓨터에서 민감한 데이터를 훔치도록 특별히 설계된 새로운 유형의 난독화 멀웨어를 발견했습니다.

작성자

오반라 오페예미

게시자 이름

TuxCare

게시자 로고