가짜 AI 비디오 생성기가 Windows와 macOS에서 데이터를 훔쳤습니다

보안 연구원들은 사기 웹사이트를 사용하여 Windows 및 macOS 장치에서 각각 악성 소프트웨어인 Lumma Stealer와 AMOS를 배포하는 새로운 사이버 범죄 캠페인을 발견했습니다(출처: BleepingComputer).

이 악성 프로그램은 Google Chrome, Microsoft Edge 및 Mozilla Firefox와 같은 인기 브라우저에서 암호화폐 지갑, 쿠키, 자격 증명, 저장된 비밀번호, 신용 카드 세부정보 및 탐색 기록을 훔치는 것을 목표로 합니다.

훔친 데이터는 아카이브로 컴파일되어 공격자에게 전송되며, 공격자는 이를 추가 사이버 공격에 악용하거나 지하 시장에서 판매할 수 있습니다.

사이버 보안 전문가 g0njxa에 따르면, 공격자는 검색 엔진 결과 및 X(구 Twitter)의 광고를 통해 EditPro라는 AI(인공지능) 비디오 및 이미지 편집기를 가장한 가짜 웹사이트를 홍보합니다.

이 광고 중 일부는 아이스크림을 함께 즐기는 바이든 대통령과 트럼프의 딥페이크 정치 비디오와 같은 내용을 포함하여 주목을 끌고 있습니다.

캠페인 작동 방식

이미지를 클릭하면 EditProAI 애플리케이션을 위한 두 개의 웹사이트—editproai[.]pro 및 editproai[.]org로 이동하게 되며, 각각 Windows 및 macOS 악성 소프트웨어를 배포하기 위해 생성되었습니다.

이 사이트들은 전문적인 레이아웃과 널리 퍼진 쿠키 배너를 특징으로 하여 신뢰할 수 있는 것처럼 보이도록 설계되었습니다.

그러나 “지금 받기” 링크를 클릭하면 EditProAI 애플리케이션을 가장한 악성 파일이 다운로드됩니다.

Windows 파일: “Edit-ProAI-Setup-newest_release.exe”  [ VirusTotal ]

macOS 파일: “EditProAi_v.4.36.dmg” [ VirusTotal ]

Windows 악성 소프트웨어는 합법적인 무료 소프트웨어 개발자인 Softwareok.com의 도난당한 코드 서명 인증서를 사용하여 디지털 서명된 것으로 보고되었습니다. 다운로드가 완료되면, 악성 소프트웨어는 “proai[.]club/panelgood/”에 위치한 서버로 훔친 데이터를 전송하며, 공격자는 나중에 이를 검색할 수 있습니다, g0njxa는 말합니다.

AnyRun의 보고서, 샌드박스 악성 소프트웨어 분석 서비스는 Windows 변종이 Lumma Stealer임을 확인했습니다. **

사용자에 대한 잠재적 영향

이러한 악성 도구를 과거에 설치한 사용자들은 상당한 위험에 처해 있으며, 즉시 방문한 모든 사이트에서 고유한 비밀번호로 재설정할 것을 권장합니다.

이메일 서비스, 온라인 뱅킹 및 암호화폐 플랫폼과 같은 민감한 계정에 대해 다단계 인증을 활성화하는 것이 좋습니다.

또한, 특히 익숙하지 않은 출처에서 소프트웨어를 다운로드할 때 주의해야 하며, 이러한 진화하는 위협의 희생자가 되지 않도록 해야 합니다.