공식 소프트웨어 사이트를 복제하여 Google Ads 플랫폼을 통해 악성코드를 퍼뜨리는 공격자들

악성코드를 배포하기 위해 Google Ads 플랫폼을 악용하는 위협 행위자의 수가 증가하고 있습니다. 이들은 인기 있는 소프트웨어 제품을 다운로드하려는 무지한 사용자에게 악성코드를 퍼뜨리고 있습니다.

위협 행위자들은 이러한 소프트웨어 제품의 공식 웹사이트를 복제한 후, 사용자가 다운로드 버튼을 클릭할 때 트로이안이 포함된 버전을 퍼뜨립니다.

위협 행위자들이 목표로 하는 소프트웨어 제품은 다음과 같습니다 – Grammarly, Malwarebytes, μTorrents, AnyDesk, MSI Afterburner, Slack, Thunderbird, OB.S, Ring, Libre Office, Brave, Dashlane, Teamviewer, Audacity.

피해자가 컴퓨터에서 받은 악성 소프트웨어 중 일부는 Racoon Stealer의 변형으로, 이는 Vidar Steeler의 사용자 정의 버전과 IceID 악성코드 로더입니다.

한 달 전, 우리는 MSI Afterburner 캠페인을 다루었으며, 이 캠페인은 사용자에게 RedLine 악성코드를 감염시켰습니다. Bleeping Computers의 보고서에 따르면, 최대 200개의 도메인이 소프트웨어 제품을 복제하는 대규모 타이포스쿼팅 캠페인이 있었습니다.

피해자들이 어떻게 그런 웹사이트에 접속하게 되었는지는 명확하지 않았지만, TrendMicro와 Guardio Labs와 같은 여러 보안 회사의 보고서에 따르면, 위협 공격자들이 Google 광고 캠페인을 통해 더 넓은 사용자 기반에 도달했기 때문입니다!

Google 광고 플랫폼은 광고주가 웹사이트와 페이지를 홍보하고 검색 결과의 상단에 배치하여 종종 제품의 공식 웹사이트보다 위에 표시할 수 있게 해주는 서비스입니다.

이는 광고 차단기를 사용하지 않거나 꺼둔 사용자가 홍보된 웹사이트를 먼저 보고 클릭하게 되어 실제 검색 결과로 착각하게 된다는 것을 의미합니다!

위협 행위자들은 Google의 자동 검사를 우회하기 위한 속임수를 사용하며, Google이 랜딩 페이지가 악성코드임을 발견하면 광고 캠페인이 차단되고 광고가 제거됩니다.

현재 GuardioLabs와 TrendMicro에 따르면, 위협 공격자들이 사용하는 속임수는 피해자가 광고를 클릭하게 한 다음, 관련이 없지만 해롭지 않은 웹사이트로 이동시키는 것입니다. 이 웹사이트 또한 공격자가 만든 것으로, 그곳에서 악성 웹사이트로 리디렉션됩니다.

따라서 목표 사용자가 복제된 웹사이트를 방문하면 서버가 즉시 그들을 악성 웹사이트로 리디렉션하고, 그곳에서 악성 페이로드로 이동하게 됩니다, 라고 GuardioLabs는 말했습니다.

게다가 이러한 악성 웹사이트는 방문자에게 보이지 않으며, 실제 프로모션 흐름에서 도달하지 않으며, 크롤러, 우연한 방문자, 봇 및 Google 정책 집행자에게는 관련이 없습니다.

페이로드는 ZIP 파일로 제공되며 GitHub, Dropbox 또는 Discord CDN과 같은 합법적인 웹사이트에서 다운로드되어, 대상 컴퓨터에서 실행 중인 안티바이러스가 다운로드를 반대하지 않도록 보장합니다.

보안 회사에 따르면, 그들이 11월에 발견한 캠페인에서는 위협 공격자들이 사용자들을 Racoon Stealer가 포함된 트로이안 버전의 Grammarly로 유도했습니다.

악성코드는 원래 소프트웨어와 함께 제공되므로, 사용자는 합법적인 소프트웨어와 함께 조용히 설치되는 악성코드를 받게 됩니다.

TrendMicro의 보고서에 따르면, IceID 캠페인에서는 공격자들이 Ketaro 트래픽 시스템을 악용하여 웹사이트를 방문하는 사용자가 실제 피해자인지 연구자인지를 감지한 후 리디렉션이 발생합니다. 이 TDS 악용은 2019년부터 존재해왔습니다.

이렇게 말했듯이, 홍보된 검색 결과는 모든 합법성 요소를 포함하고 있어 가짜로 식별하기 어려운 경우가 많습니다. 이러한 광고 캠페인을 차단하는 한 가지 방법은 브라우저에서 광고 차단기를 활성화하는 것입니다. 이는 홍보된 검색 결과를 필터링합니다.

또 다른 방법은 다운로드하려는 소프트웨어 제품의 도메인이 보일 때까지 웹페이지를 아래로 스크롤하는 것입니다.

읽기: RisePro 악성코드, 비밀번호, 신용 카드 정보 및 암호화폐 지갑 탈취