가짜 브라우저 업데이트가 BitRAT 및 Lumma Stealer 악성코드를 퍼뜨리고 있습니다

eSentire의 위협 대응 유닛(TRU)의 사이버 보안 연구원들은 원격 액세스 트로이 목마(RAT) 및 정보 탈취 악성코드인 BitRAT과 Lumma Stealer(또는 LummaC2) 등 여러 악성코드 감염을 전달하는 가짜 브라우저 업데이트 사례를 발견했습니다.

사이버 보안 회사 eSentire의 최근 보고서에 따르면, 이러한 가짜 브라우저 업데이트는 새로운 공격에서 확인된 잘 알려진 SocGholish 악성코드의 원인이기도 합니다.

2024년에는 FakeBat이 유사한 가짜 업데이트 메커니즘을 사용하여 배포되는 것이 관찰되었습니다.

공격은 잠재적인 피해자가 악성 JavaScript 코드가 주입된 손상된 웹사이트를 방문할 때 시작되며, 이 코드는 사용자를 “chatgpt-app[.]cloud”와 같은 가짜 브라우저 업데이트 페이지로 안내합니다.

또한 chatgpt-app[.]cloud 사이트에는 Discord의 콘텐츠 배포 네트워크(CDN)에 호스팅된 ZIP 아카이브(“Update.zip”)를 다운로드하는 링크가 포함되어 있으며, 이는 피해자의 장치에 자동으로 다운로드됩니다.

“ZIP 아카이브 내에 포함된 JavaScript 파일(Update.js)은 피해자가 실행할 경우 페이로드를 검색하는 초기 다운로더 역할을 합니다. 아카이브에는 http://77[.]221[.]151[.]31에서 다음 단계 로더 및 페이로드를 다운로드하고 실행하는 PowerShell 스크립트가 여러 개 포함되어 있습니다.”라고 보고서는 말했습니다.

“PowerShell 스크립트에서 확인된 IP 주소는 BitRAT 명령 및 제어(C2) 주소로 알려져 있으며, BitRAT 및 Lumma Stealer 페이로드를 호스팅합니다. 파일의 확장자는 .png이지만 로더, 지속성 메커니즘 및 페이로드를 포함하고 있습니다.”

보고서는 또한 “악성 페이로드를 포함하는 두 개의 파일 a.png 및 s.png에는 AMSI 우회가 포함되어 있으며, .NET에서 반사를 활용하여 RegSvcs.exe 프로세스 내에서 페이로드를 동적으로 로드하고 실행하는 코드가 포함되어 있습니다.”라고 덧붙였습니다.

eSentire는 다운로더가 BitRAT 및 Lumma Stealer를 배포하는 데 사용되기 때문에 “악성코드 배포 서비스”로 광고될 가능성이 높다고 언급했습니다.

BitRAT은 감염된 시스템에 대한 광범위한 제어를 허용하는 다목적 원격 액세스 도구입니다. 이를 통해 공격자는 데이터를 수집하고, 민감한 데이터를 도용하며, 사용자 활동을 모니터링하고, 추가 바이너리를 다운로드하고, 심지어 추가 악성코드를 배포할 수 있습니다.

반면 Lumma Stealer는 피해자의 기기에서 암호화폐 지갑, 2FA 브라우저 확장 및 기타 민감한 정보를 수집할 수 있는 상용 정보 탈취기입니다.

“가짜 브라우저 업데이트 유인은 장치나 네트워크에 대한 진입 수단으로 공격자들 사이에서 일반화되었습니다.”라고 회사는 말하며, “신뢰할 수 있는 이름을 활용하여 도달 범위와 영향을 극대화하는 운영자의 능력을 보여줍니다.”라고 덧붙였습니다.

해커들은 종종 악성코드 공격 벡터로 Discord를 사용합니다. Bitdefender의 최근 분석에 따르면, 지난 6개월 동안 50,000개 이상의 위험한 링크가 악성코드, 피싱 캠페인 및 스팸을 배포하기 위해 유통되었습니다.

한편, ReliaQuest의 별도 연구에서는 ClearFake 캠페인의 새로운 변종이 사용자를 속여 가짜 브라우저 업데이트의 가장을 쓰고 악성 PowerShell 코드를 복사, 붙여넣기 및 수동으로 실행하도록 유도한다고 밝혔습니다.

이로 인해 2023년 주요 정보 탈취기 중 하나인 LummaC2 악성코드가 설치되었습니다. ReliaQuest의 또 다른 보고서에 따르면, “LummaC2가 획득한 로그의 판매 목록 수는 2023년 3분기에서 4분기로 110% 증가했습니다. LummaC2의 적들 사이에서의 인기가 상승하는 것은 시스템에 성공적으로 침투하고 민감한 데이터를 탐지 없이 유출하는 데 있어 높은 성공률 때문일 가능성이 큽니다.”라고 ReliaQuest는 언급했습니다.