마이크로소프트, 크롬, 엣지 및 파이어폭스를 감염시키는 악성코드 캠페인 경고

마이크로소프트는 목요일 블로그 게시물에서 여러 브라우저, 즉 마이크로소프트 엣지, 구글 크롬, 얀덱스 브라우저 및 모질라 파이어폭스를 포함하여 검색 결과에 광고를 조용히 주입하도록 설계된 새로운 악성코드 캠페인에 대해 경고했습니다.

마이크로소프트에 따르면, 지속적인 악성코드 캠페인이 최소 2020년 5월부터 대규모로 진화된 브라우저 수정 악성코드를 적극적으로 배포하고 있습니다. 2020년 8월에는 하루에 30,000대 이상의 장치가 악성코드에 감염되는 정점에 도달했습니다.

“우리는 이 브라우저 수정자의 가족을 아드로젝(Adrozek)이라고 부릅니다. 탐지 및 차단되지 않으면 아드로젝은 브라우저 확장을 추가하고, 대상 브라우저별로 특정 DLL을 수정하며, 웹 페이지에 추가적인 무단 광고를 삽입하기 위해 브라우저 설정을 변경합니다. 이는 종종 검색 엔진의 합법적인 광고 위에 나타납니다.”라고 마이크로소프트 팀은 작성했습니다.

“의도된 효과는 특정 키워드를 검색하는 사용자가 이러한 악성코드가 삽입한 광고를 우연히 클릭하여 제휴 페이지로 이어지도록 하는 것입니다. 공격자는 제휴 광고 프로그램을 통해 수익을 얻으며, 이는 추천된 트래픽의 양에 따라 지급됩니다.”

마이크로소프트 팀에 따르면, 브라우저 수정 악성코드는 반드시 새롭거나 고급 기술이 아니지만, 이 캠페인이 여러 브라우저에 영향을 미치는 악성코드를 활용한다는 사실은 이 위협 유형이 점점 더 정교해지고 있음을 나타냅니다. 게다가, 이 악성코드는 지속성을 유지하고 웹사이트 자격 증명을 유출하여 영향을 받는 장치를 추가적인 위험에 노출시킵니다.

마이크로소프트는 2020년 5월부터 9월까지 아드로젝 캠페인을 추적하여 수백 개의 고유 도메인이 수십만 개의 고유 악성코드 샘플을 배포하는 데 사용되었으며, 각 도메인은 평균 17,300개의 고유 URL을 호스팅하고, 이는 평균 15,300개의 고유 다형성 악성코드 샘플을 호스팅합니다.

2020년 5월부터 9월까지 레드몬드 기술 대기업은 전 세계에서 아드로젝 악성코드의 수십만 건의 사례를 기록했으며, 유럽, 남아시아 및 동남아시아에 집중되었습니다.

아드로젝 악성코드는 드라이브 바이 다운로드를 통해 장치에 설치됩니다. 공격자는 다형성에 크게 의존하여 대량의 샘플을 생성하고 탐지를 회피할 수 있습니다.

배포 인프라도 매우 역동적입니다. 일부 도메인은 단 하루만 운영되었고, 다른 도메인은 최대 120일 동안 활성 상태였습니다. 흥미롭게도, 일부 도메인은 프로세스 탐색기와 같은 깨끗한 파일을 배포하고 있었으며, 이는 공격자가 자신의 도메인과 URL의 평판을 개선하고 네트워크 기반 보호를 회피하려는 시도로 보입니다.

마이크로소프트는 아래 이미지에서 아드로젝의 공격 체인을 설명했습니다:

위 이미지에서 볼 수 있듯이, 도메인에서 제공되는 설치 프로그램은 %temp% 폴더에 무작위 파일 이름을 가진 .exe 파일을 드롭합니다. 이 파일은 프로그램 파일 폴더에 합법적인 오디오 관련 소프트웨어처럼 보이도록 파일 이름을 사용하여 주요 페이로드를 드롭합니다. 악성코드는 Audiolava.exe, QuickAudio.exe 및 converter.exe와 같은 다양한 이름을 사용합니다.

설치가 완료되면 아드로젝은 기본 홈페이지, 새로운 브라우저 확장 추가, 브라우저의 DLL 파일 변경, 브라우저의 기본 검색 엔진, 업데이트 일정, 권한 설정 등 여러 브라우저 설정 및 구성 요소를 변경하여 악성코드가 검색 엔진 결과 페이지에 광고를 주입할 수 있도록 합니다.

이것만으로는 부족한데, 모질라 파이어폭스에서는 아드로젝 악성코드가 브라우저에서 사용자 자격 증명을 훔쳐서 공격자의 서버로 다시 전송합니다.

“많은 도메인이 수만 개의 URL을 호스팅했지만, 일부는 100,000개 이상의 고유 URL을 보유하고 있으며, 하나는 거의 250,000개를 호스팅하고 있습니다. 이 방대한 인프라는 공격자가 이 캠페인을 운영하기 위해 얼마나 결단력이 있는지를 반영합니다.”라고 마이크로소프트는 덧붙였습니다.

마이크로소프트는 장치에서 이 악성코드를 발견한 최종 사용자에게 브라우저를 재설치할 것을 권장합니다. 또한 사용자는 악성코드 감염을 방지하고 신뢰할 수 없는 출처에서 소프트웨어를 다운로드 및 설치하거나 의심스러운 웹사이트의 광고나 링크를 클릭하는 위험에 대해 스스로 교육해야 한다고 덧붙였습니다.

예방 조치로 최종 사용자는 보안 소프트웨어와 운영 체제가 최신 상태인지 확인해야 합니다. 기업의 경우, 승인된 앱과 서비스만 사용하도록 애플리케이션 제어를 구현하여 공격 표면을 줄이는 것을 고려해야 합니다.