CCleaner 크랙 버전을 통해 확산되는 인포스틸러 악성코드
CCleaner Pro Windows 최적화 프로그램의 크랙 버전을 통해
비밀번호, 신용 카드 및 암호화폐 지갑을 훔치는 악성 프로그램이 확산되고 있습니다.
해당 악성 프로그램은 개인 데이터와 암호화폐 자산을 수집하고
데이터 캡처 프록시를 통해 인터넷 트래픽을 라우팅할 수 있는 인포스틸러입니다.
보안 회사 Avast의 분석가에 의해 발견된
새로운 악성 프로그램 배포 캠페인은 'FakeCrack'이라고 명명되었으며,
고객 데이터에서 매일 평균 10,000건의 감염 시도를 탐지했다고 보고하였습니다.
위협 행위자는 *Black Hat SEO 기술에 따라 Google 검색 결과에서
악성 프로그램 배포 웹사이트의 순위를 높게 지정하여
더 많은 사람들이 악성 실행 파일을 다운로드하도록 유도합니다.
* Black Hat SEO
: 검색엔진 이용약관에 위반되는 수단을 통해 사이트나 페이지 순위를 올리는 것
Avast가 확인한 악성 파일은 Windows 시스템 클리너 및 성능 최적화 프로그램인
'CCleaner Professional'의 크랙 버전입니다.
검색 결과에 따라 피해자는 ZIP 파일 다운로드를 제공하는
*랜딩페이지를 표시하는 여러 웹사이트로 안내됩니다.
* 랜딩페이지 (landing page)
: 검색 엔진, 광고 등을 경유하여 접속하는 이용자가 최초로 보게 되는 웹페이지
압축 파일은 취약한 PIN을 암호로 사용하여 보호되며,
이는 단지 안티바이러스의 탐지로부터 페이로드를 보호하기 위해서만 존재합니다.
공격자들은 계정 비밀번호, 신용카드 및 암호화폐 지갑 크리덴셜과 같은
웹브라우저에 저장된 정보를 훔치려는 프로그램을 설치하도록 피해자를 유도합니다.
또한, 프록시를 사용하여 피해자가 발견하거나 인지하기 어려운
중간자 공격(Man-in-the-Middle)을 사용하여 암호화폐 계정 크리덴셜을 훔치기도 합니다.
악성 프로그램은 클립보드에서 복사된 지갑 주소를 모니터링하고
이를 악성 프로그램 운영자가 관리하는 주소로 대체하여 결제를 우회합니다.
클립보드 하이재킹 기능은 비트코인, 이더리움, 카르다노, 테라, 나노, 로닌, 비트코인
캐시 주소를 포함한 다양한 암호화폐 주소와 연동됩니다.
악성 프로그램을 통해 공격자는 IP 주소를 설정하여,
악성 프록시 자동 구성 스크립트(PAC)를 다운로드합니다.
시스템에서 IP 주소를 설정하면 나열된 도메인에 피해자가 접근할 때마다
발생하는 트래픽이 공격자가 관리하는 프록시 서버로 리디렉션됩니다.
해당 악성코드에 감염된 것으로 의심되는 경우 아래의 절차에 따라 설정을 변경합니다.
(1) 레지스트리 키 제거
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings에서
AutoConfigURL 레지스트리 키를 삭제합니다.
(2) 프록시 서버 사용 비활성화
'Windows 설정'에서 ‘네트워크 및 인터넷’으로 이동하고
'프록시 서버 사용' 옵션을 끄기로 전환합니다.
(3) 크랙 소프트웨어 다운로드 지양
감염률이 높기 때문에 다운로드 사이트가 Google 검색 결과에서
높은 순위에 있더라도 크랙 소프트웨어를 다운로드하는 것을 지양합니다.
MIR News
[ FakeCrack 편 ]
감사합니다.
제작 : MIR Team
문의 : mss_analysis@cyberone.kr
블로그 : https://mir.team
페이스북 : https://www.facebook.com/mirteamofficial
계속 악용되고 있는 Follina 취약점(feat. Windows 업데이트 하셨나요?) (0) | 2022.07.14 |
---|---|
Good Bye~ 27년 만에 사라지는 인터넷 익스플로러! (0) | 2022.07.07 |
ChromeLoader 악성코드 급증으로 전 세계 브라우저 위협 (0) | 2022.05.27 |
2021년, 가장 많이 악용된 보안 취약점 15가지 (0) | 2022.05.16 |
국제 인증도 편리하게 국내에서 바로? CBPR 인증제도 도입! (0) | 2022.05.06 |
댓글 영역