IT소식

해커는 Google Ads를 악용하여 합법적인 소프트웨어에 멀웨어를 퍼뜨립니다.

피커 2022. 12. 30. 18:07
728x90
반응형

멀웨어 운영자는 점점 더 Google Ads 플랫폼을 악용하여 인기 있는 소프트웨어 제품을 검색하는 순진한 사용자에게 멀웨어를 유포하고 있습니다.

이러한 캠페인에서 가장한 제품에는 Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird 및 Brave가 있습니다.



위협 행위자는 위 프로젝트의 공식 웹 사이트를 복제하고 사용자가 다운로드 버튼을 클릭할 때 소프트웨어의 트로이 목마 버전을 배포합니다.

이러한 방식으로 피해자 시스템에 전달된 일부 맬웨어에는 Raccoon Stealer 변종, Vidar Stealer의 사용자 정의 버전 및 IcedID 맬웨어 로더가 포함됩니다.

BleepingComputer는 최근 소프트웨어 프로젝트를 사칭하는 200개 이상의 도메인을 사용한 대규모 타이포스쿼팅(typosquatting) 캠페인을 밝히는 데 도움이 되는 이러한 캠페인에 대해 보고했습니다. 또 다른 예로 가짜 MSI Afterburner 포털을 사용하여 사용자를 RedLine 스틸러로 감염시키는 캠페인이 있습니다.


그러나 한 가지 누락된 세부 정보는 사용자가 이러한 웹 사이트에 노출된 방식으로, 현재 알려지게 된 정보입니다.

Guardio Labs와 Trend Micro의 두 보고서에 따르면 이러한 악성 웹사이트는 Google 광고 캠페인을 통해 더 많은 잠재 고객에게 홍보됩니다.

Google Ads 남용
Google Ads 플랫폼은 광고주가 Google 검색에서 페이지를 홍보할 수 있도록 도와줍니다. 이를 통해 결과 목록에서 종종 프로젝트의 공식 웹사이트보다 높은 순위에 페이지를 배치할 수 있습니다.

 



즉, 활성 광고 차단기가 없는 브라우저에서 합법적인 소프트웨어를 찾는 사용자는 프로모션을 먼저 보고 실제 검색 결과와 매우 유사하게 보이기 때문에 프로모션을 클릭할 가능성이 높습니다.

Google에서 방문 사이트가 악성임을 감지하면 캠페인이 차단되고 광고가 제거되므로 위협 행위자는 해당 단계에서 트릭을 사용하여 Google의 자동 검사를 우회해야 합니다.

Guardio와 Trend Micro에 따르면 피해자가 광고를 클릭하면 위협 행위자가 만든 무관하지만 양성인 사이트로 이동한 다음 소프트웨어 프로젝트를 사칭하는 악성 사이트로 리디렉션하는 것이 트릭입니다.

맬웨어 배포 캠페인에 사용되는 랜딩 및 악성 사이트
캠페인에 사용된 착륙 및 악성 사이트(Guardio Labs)
Guardio Labs는 보고서에서 "타깃 방문자가 이러한 "위장된" 사이트를 방문하는 순간 서버는 즉시 해당 사이트를 악성 사이트로 리디렉션하고 거기에서 악성 페이로드로 리디렉션합니다.

"이러한 악성 사이트는 크롤러, 봇, 비정기 방문자 및 물론 Google의 정책 집행자에게 무해하고 관련 없는 사이트로 표시되는 실제 프로모션 흐름에서 도달하지 않는 방문자에게는 거의 보이지 않습니다." - Guardio Labs

ZIP 또는 MSI 형식으로 제공되는 페이로드는 GitHub, Dropbox 또는 Discord의 CDN과 같은 평판이 좋은 파일 공유 및 코드 호스팅 서비스에서 다운로드됩니다. 이렇게 하면 피해자의 컴퓨터에서 실행 중인 바이러스 백신 프로그램이 다운로드에 반대하지 않습니다.

악성코드 감염 흐름
맬웨어 감염 흐름(Guardio Labs)
Guardio Labs는 11월에 관찰한 캠페인에서 위협 행위자가 Raccoon Stealer를 전달하는 Grammarly의 트로이 목마 버전으로 사용자를 유인했다고 밝혔습니다.



멀웨어는 합법적인 소프트웨어와 함께 번들로 제공되었습니다. 사용자는 다운로드한 것을 얻고 악성코드는 자동으로 설치됩니다.

IcedID 캠페인에 초점을 맞춘 Trend Micro의 보고서에 따르면 공격자는 Keitaro Traffic Direction System을 악용하여 리디렉션이 발생하기 전에 웹 사이트 방문자가 연구원인지 유효한 피해자인지 감지합니다. 이 TDS를 악용하는 것은 2019년부터 목격되었습니다.

유해한 다운로드 방지
승격된 검색 결과는 합법성의 모든 징후를 수반하기 때문에 까다로울 수 있습니다. FBI는 최근 이러한 유형의 광고 캠페인에 대해 경고를 발령하여 인터넷 사용자에게 매우 조심할 것을 촉구했습니다.

이러한 캠페인을 차단하는 한 가지 좋은 방법은 Google 검색에서 프로모션 결과를 필터링하는 웹 브라우저에서 광고 차단기를 활성화하는 것입니다.

또 다른 예방 조치는 찾고 있는 소프트웨어 프로젝트의 공식 도메인이 보일 때까지 아래로 스크롤하는 것입니다. 확실하지 않은 경우 공식 도메인은 소프트웨어의 Wikipedia 페이지에 나열됩니다.

업데이트 소스를 얻기 위해 특정 소프트웨어 프로젝트의 웹사이트를 자주 방문하는 경우 URL을 북마크에 추가하고 직접 액세스하는 데 사용하는 것이 좋습니다.

다운로드하려는 설치 프로그램이 악의적일 수 있다는 일반적인 징후는 비정상적인 파일 크기입니다.

파울 플레이의 또 다른 확실한 증거는 다운로드 사이트의 도메인입니다. 이 도메인은 공식 사이트와 유사하지만 이름의 문자 또는 "타이포스쿼팅(typosquatting)"으로 알려진 하나의 잘못된 문자를 바꿨습니다.

반응형