잉카인터넷 시큐리티대응센터 블로그

보안 업체 Mandiant가 최근 악성 광고 캠페인을 통해 FakeBat라는 로더가 유포되는 정황을 발견했다. Mandiant의 기술 보고서에 따르면, 공격자는 소프트웨어를 다운로드 하기 위해 검색하는 사용자에게 악성 광고를 표시해 가짜 웹사이트로 접속하도록 유도한다. 이후 사용자는 정상 파일인 척 위장한 악성 MSI 설치 프로그램을 다운로드하게 된다. 다운로드한 MSIX 파일은 FakeBat 로더로, 정상 프로그램을 시작하기 전에 악성 스크립트를 실행해 공격자의 C&C 서버에서 추가 페이로드를 다운로드한다. 설치 과정에서 다운로드되는 악성코드는 IcedID, RedLine Stealer, Lumma Stealer, SectopRAT 등이 포함된다. 최종적으로 감염된 호스트의 시스템 정보와 설치된 보안 ..

공식 도메인으로 사칭한 가짜 KeePass 사이트를 광고로 표시해 악성 코드를 배포하는 Google Ads 캠페인이 발견됐다. 보안업체 Malwarebytes는 사용자가 해당 광고 링크를 클릭하면 Punycode URL을 사용한 가짜 웹사이트에 접속하게 된다고 전했다. Punycode는 특수 문자가 포함된 텍스트를 ASCII 인코딩으로 변환시켜주는 형식으로, 공격자는 이점을 악용해 공식 사이트와 유사해보이는 유니코드로 변경 후 도메인 이름을 등록한다. 해당 캠페인은 keepass.info의 k 문자와 비슷한 ķ 유니코드를 사용해 ķeepass.info로 도메인 이름을 설정했다. 사용자는 해당 링크를 기존 도메인과 동일하다고 인지 후 접속하게 되고 다운로드를 클릭하면 FakeBat 악성코드가 설치된다. 외..