가짜 MSI 애프터버너 포털, 윈도우 게이머를 겨냥한 암호화폐 채굴

가짜 MSI 애프터버너 다운로드 포털이 윈도우 파워 유저 및 윈도우 게이머를 겨냥하여 암호화폐 채굴기 및 RedLine 정보 탈취 악성코드를 감염시키고 있다는 새로운 보고서에 따르면 Cyble의 연구자들이 밝혔습니다.

우선, MSI 애프터버너는 사용자가 오버클럭을 구성하고, 비디오를 녹화하며, 팬 프로필을 만들고, 설치된 그래픽 카드 및 CPU 사용량을 모니터링할 수 있게 해주는 GPU 기능입니다.

이 기능은 거의 모든 그래픽을 사용하는 사용자들이 사용할 수 있어 전 세계 수백만 명의 사용자가 자신의 요구에 맞게 설정을 수정할 수 있습니다. 즉, 낮은 온도를 달성하고 게임 성능을 개선하는 등의 목적을 가지고 있습니다.

이 모든 것들은 이 도구를 윈도우 파워 유저나 강력한 GPU를 사용하는 게이머를 겨냥하는 공격자들에게 좋은 표적이 되게 만듭니다. 공격자들은 이를 통해 암호화폐 채굴에 사용할 수 있습니다.

Cyble에 따르면, 지난 3개월 동안 공식 MSI 애프터버너 웹사이트를 모방한 50개 이상의 웹사이트가 인터넷에 등장하여 XMR 채굴기와 정보 탈취 악성코드를 배포하고 있습니다.

읽기: AXLocker 랜섬웨어 그룹이 감염된 사용자의 Discord 계정을 탈취합니다.

이 캠페인은 사용자가 정품 MSI 애프터버너 웹사이트라고 믿게 만들기 위해 동일한 도메인 이름을 사용하여 블랙 SEO를 통해 홍보하기가 더 쉬워졌습니다. Cyble에 의해 확인된 도메인은 다음과 같습니다.

• msi-afterburner–download.site
• msi-afterburner-download.site
• msi-afterburner-download.tech.
• msi-afterburner-download.online
• msi-afterburner-download.store
• msi-afterburner-download.ru
• msi-afterburner.download
• mslafterburners.com
• msi-afterburnerr.com

또한 다른 경우에는 도메인이 MSI 브랜드를 사용하지 않았으며 메시지, 소셜 미디어 게시물 및 포럼을 통해 홍보되었을 가능성이 있습니다.

• git.git.skblxin.matrizauto.net
• git.git.git.skblxin.matrizauto.net
• git.git.git.git.skblxin.matrizauto.net
• git.git.git.git.git.skblxin.matrizauto.net

가짜 MSI 애프터버너 설치 파일(MSIAfterburnerSetup.msi)을 실행하면 유효한 파일이 설치됩니다. 그러나 설치 프로그램은 조용히 RedLine 정보 탈취 악성코드와 감염된 장치에서 XMR 채굴기를 드롭하고 실행합니다.

XMR 채굴기는 로컬 프로그램 파일 디렉토리에 “browser_assistant.exe”라는 이름의 64비트 Python 실행 파일을 통해 설치되며, 설치 프로그램에 의해 생성된 프로세스에 쉘을 삽입합니다.

쉘 코드는 GitHub 아카이브에서 XMR 채굴기를 가져온 다음 explorer.exe 프로세스의 메모리에 직접 주입하며, XMR 채굴기는 디스크와 상호작용하지 않기 때문에 보안 제품에 의해 탐지될 가능성이 매우 낮습니다. 이후 XMR 채굴기는 하드코딩된 사용자 이름과 비밀번호를 사용하여 채굴 풀에 연결하고 기본 시스템 정보를 위협 공격자에게 제공합니다.

읽기: 휴가 시즌 동안 북미인을 겨냥한 피싱 이메일 키트!

채굴기가 사용하는 기능 중 하나는 “CPU 최대 스레드”가 20으로 설정되어 있어 대부분의 CPU 스레드를 초과하여 모든 가용 전력을 소비하도록 설정되어 있습니다. XMR 채굴기는 한 시간 후에만 채굴을 시작하며, CPU가 유휴 상태로 들어가면 이는 손상된 PC가 자원 집약적인 작업에 사용되지 않고 방치되었음을 나타냅니다.

또한, cinit-stealth-targets 기능을 사용하여 특정 프로그램이 “스텔스 타겟” 아래에 나열될 때 채굴을 일시 중지하고 GPU 메모리를 지우는 옵션입니다. 이는 피해자가 악성 프로세스를 식별하는 데 도움이 되는 프로그램일 수 있습니다. 즉, 안티바이러스, 하드웨어 리소스 뷰어 등입니다.

이 시나리오에서 윈도우 애플리케이션에서 숨으려는 채굴기는 taskmanager.exe, procexp.exe, Processhacker.exe, perforn.exe, procexp64.exe입니다. 동시에 XMR 채굴기는 조용히 당신의 자원(Monero)을 장악하고 있으며, RedLine은 이미 백그라운드에서 브라우저 데이터, 쿠키, 비밀번호 및 가능한 모든 암호화폐 지갑을 훔치고 있습니다.

안타깝게도 거의 모든 가짜 MSI 애프터버너 캠페인 구성 요소는 나쁜 안티바이러스 소프트웨어 탐지율을 가지고 있으며, VirusTotal의 보고서에 따르면 MSIAfterburnerSetup.msi 설치 파일은 56개의 보안 소프트웨어 중 3개만 탐지되고, browser_assistant.exe는 67개 중 2개만 탐지됩니다.

읽기: Mirai RapperBot 악성코드가 온라인 게임 서버를 DDoS 공격합니다.