최신 보안 동향
악성 광고 캠페인을 통해 배포되는 FakeBat 로더
TACHYON & ISARC
2024. 8. 21. 15:11
보안 업체 Mandiant가 최근 악성 광고 캠페인을 통해 FakeBat라는 로더가 유포되는 정황을 발견했다.
Mandiant의 기술 보고서에 따르면, 공격자는 소프트웨어를 다운로드 하기 위해 검색하는 사용자에게 악성 광고를 표시해 가짜 웹사이트로 접속하도록 유도한다. 이후 사용자는 정상 파일인 척 위장한 악성 MSI 설치 프로그램을 다운로드하게 된다. 다운로드한 MSIX 파일은 FakeBat 로더로, 정상 프로그램을 시작하기 전에 악성 스크립트를 실행해 공격자의 C&C 서버에서 추가 페이로드를 다운로드한다. 설치 과정에서 다운로드되는 악성코드는 IcedID, RedLine Stealer, Lumma Stealer, SectopRAT 등이 포함된다. 최종적으로 감염된 호스트의 시스템 정보와 설치된 보안 프로그램 등을 수집해 공격자의 C&C 서버로 전송한다.
Mandiant는 Brave, KeePass, Notion, Steam, Zoom 등과 같은 인기 소프트웨어로 위장한 악성 프로그램을 배포하기 위해 멀버타이징을 활용한다고 주의를 권고했다.
사진 출처 : Mandiant
출처
[1] Mandiant (2024.08.19) – Finding Malware: Unveiling NUMOZYLOD with Google Security Operations