최근에 웹 브라우저의 악성 확장 프로그램을 유포해 사용자의 시스템을 공격한 캠페인이 발견됐다.
보안 업체 ReasonLabs 측은 Google 검색 결과에 나오는 악성 광고에서 캠페인이 시작된다고 전했다. 공격자는 사용자가 해당 광고로 접속하면 가짜 다운로드 사이트로 연결해 잘 알려진 소프트웨어의 설치 프로그램을 다운로드하도록 유도한다. 사용자가 설치 프로그램을 실행하면 원하던 소프트웨어가 아닌 PowerShell 스크립트가 실행되면서 공격자의 원격 서버에서 악성 페이로드가 다운로드 된다. 이후, 주기적으로 스크립트를 실행해 추가 페이로드를 설치하도록 스케줄을 설정하고 레지스트리 값을 수정해 웹 브라우저 확장 프로그램을 설치한다. 이때 설치된 확장 프로그램은 사용자의 검색 쿼리를 하이재킹해 악성 광고 페이지로 리디렉션 하거나 브라우저의 민감 정보를 수집한다. 이 외에도 사용자의 온라인 활동을 모니터링하고 공격자의 C&C 서버에서 전달받은 명령을 수행하기도 한다.
이에 대해 ReasonLabs 측은 공격자가 확장 프로그램을 공격에 사용하지만, 실제로 악성코드를 제거하기 위해서는 시스템에 설정된 지속성을 제거해야 한다고 언급하면서 그 방법을 안내하고 있다.
사진 출처 : ReasonLabs
출처
[1] ReasonLabs (2024.08.06) – New Widespread Extension Trojan Malware Campaign
https://reasonlabs.com/research/new-widespread-extension-trojan-malware-campaign
'최신 보안 동향' 카테고리의 다른 글
| 악성 광고 캠페인을 통해 배포되는 FakeBat 로더 (0) | 2024.08.21 |
|---|---|
| 백도어를 배포하는 EastWind 피싱 캠페인 발견 (0) | 2024.08.13 |
| 한국인터넷진흥원을 사칭한 피싱 메일 주의 (0) | 2024.08.09 |
| Chameleon 안드로이드 뱅킹 트로이 목마 변종 발견 (0) | 2024.08.08 |
| 랜섬웨어 조직이 악용하는 ESXi 인증 우회 취약점 (0) | 2024.07.31 |