Massive Malvertising Campaign Discovered Attempting 40,000 Infections per Week
보안 회사인 Check Point가 대규모 멀버타이징(악성 광고) 캠페인에 대해 공개했습니다.
연구원들은 이 멀버타이징 캠페인의 운영자들이 그들의 훔친 트래픽을 선택 된 공격자에게 전달시키고 피해자들을 랜섬웨어, 뱅킹 악성코드 등에 감염시키기 위한 기술 지원 사기나 익스플로잇 키트로 이동시키기 위해 광고 네트워크 및 광고 리셀러들과 결탁한 것으로 보인다고 밝혔습니다.
Check Point는 이 복잡한 책략의 이름을 캠페인 전반의 운영 계획 내 중앙 서버의 URL에서 따온 Master134라 명명했습니다.
Master134 네트워크, 해킹 된 워드프레스 사이트들로부터 트래픽 훔쳐
Check Point의 보고서에 따르면, Master134는 워드프레스의 사이트를 탈취하는 것으로 시작됩니다. 연구원들은 이 그룹이 손상 시킨 워드프레스 사이트 10,000개 이상을 발견했다고 밝혔습니다.
연구원들은 해킹 된 모든 워드프레스 사이트들이 공격자들이 사이트를 탈취하도록 허용하는 원격 코드 실행 취약점이 존재하는 WordPress CMS 버전 4.7.1을 실행 중이었다고 밝혔습니다.
공격자들은 이 사이트들에 광고 주입을 위한 코드를 삽입했습니다. 이는 사용자들을 Master134의 메인 “리디렉션” 서비스로 이동시켰습니다.
게다가 이 그룹은 브라우저 홈페이지 하이재커 등 사용자들이 원치 않는 프로그램들을 설치해 그들을 Master134 리디렉션 포털로 이동시켰습니다.
광고 네트워크 및 리셀러를 통한 트래픽 유입 방법
이후 Master134 서비스의 역할은 그들의 웹사이트에 사용 가능한 광고 슬롯을 가진 사이트 주인들이 사용할 수 있는 “퍼블리셔”의 계정으로 AdsTerra 광고 네트워크의 “광고 슬롯”을 홍보하는 것이었습니다.
연구원들은 이 광고 슬롯들이 이후 AdKernel, AdventureFeeds, EvoLeads, ExoClick 4 곳의 광고 리셀러들 중 하나에 팔렸다고 말했습니다.
이러한 엄청난 “우연의 일치”로 인해, 다양한 공격자들이 이 리셀러들을 통해 Master134의 광고 슬롯을 구매하고 하이잭 된 트래픽을 캡쳐해 악성코드로 유인하는데 사용할 수 있게 됩니다.
연구원들은 거의 모든 주요 온라인 범죄 그룹들이 "AdsTerra 리셀러”를 통해 Master134의 트래픽을 구매한 것으로 나타났다고 밝혔습니다. 이 그룹들에는 익스플로잇 키트 운영자 (RIG, Magnitude, GrandSoft, FakeFlash), 트래픽 배포 시스템 (Fobos, HookAds, Seamless, BowMan, TorchLie, BlackTDS, Slyip) 및 많은 기술 지원 사기 운영자들이 포함 되었습니다.
우연이 아닌 음모로 의심 돼
연구원들은 공격자들이 Master134로부터 하이잭 된 트래픽을 구매하는 이 모든 상황이 단지 우연이라고는 생각하고 있지 않습니다.
“이유는 알 수 없지만, 여러 악성 그룹들과의 대규모 콜라보는 써드파티 광고 네트워크(AdsTerra가 가장 큰 비중을 차지함)를 통해 성공적으로 운영되고 있습니다.”
“연구 결과, 우리는 공격자들이 Master134측에 직접 비용을 지불한다고 추측했습니다. 이후 Master134가 광고 네트워크 회사에 비용을 지불해 트래픽을 리라우팅하고, 아마도 트래픽의 출처를 위장할 수 있게 됩니다.”
“이러한 시나리오에서, Master134는 사이버 범죄 세계에서 독특한 역할을 수행합니다. 그들은 AdsTerra와 직접적으로 일하며 광고 수익을 창출하고, AdsTerra는 이 트래픽이 정확한 목표, 이 경우에는 공격자들에게 성공적으로 전달될 수 있도록 합니다.”
연구원들은 이 멀버타이징 캠페인은 아직까지 진행 중이며, 일주일에 약 40,000건의 감염 시도가 발생한다고 밝혔습니다.
https://research.checkpoint.com/malvertising-campaign-based-secrets-lies/
미국 정부기관, 악성코드가 포함된 CD를 우편물 수신해 (0) | 2018.08.02 |
---|---|
SamSam 랜섬웨어 운영자들, 약 $600만 달러 랜섬머니 벌어들여 (0) | 2018.08.01 |
Underminer 익스플로잇 키트, Bootkit과 CoinMiner 배포 중 (0) | 2018.07.31 |
NetSpectre – 네트워크를 통해 데이터를 훔치는 새로운 원격 Spectre 공격 (0) | 2018.07.30 |
거대 해운 회사인 COSCO 랜섬웨어 감염, COSCO 미국 네트워크 무력화 돼 (0) | 2018.07.30 |
댓글 영역