포스팅 내용

국내외 보안동향

AZOrult 악성코드, 가짜 ProtonVPN 인스톨러 통해 피해자 감염시켜

AZORult Malware Infects Victims via Fake ProtonVPN Installer


지난 2019년 11월부터 가짜 ProtonVPN 웹사이트를 통해 AZORult 인포 스틸링 악성코드가 배포된 것으로 나타났습니다. 카스퍼스키의 보안 연구원들은 이 악성코드가 가짜 ProtonVPN 인스톨러로 위장한 채 배포되었다고 밝혔습니다.


ProtonVPN은 종단간 암호화 이메일 서비스를 제공하는 ProtonMail을 운영하는 회사인 Proton Technologies AG가 개발 및 운영하는 보안 중심 오픈 소스 VPN 서비스 제공 업체입니다.


AZORult는 러시아의 언더그라운드 포럼에서 약 $100에 판매되고 있는 데이터 스틸링 트로이목마로 다단계 캠페인에서는 다른 악성코드 패밀리를 로드하는 다운로더 역할도 하는 것으로 알려져 있습니다.


AZORult는 파일, 패스워드, 쿠키, 브라우징 히스토리, 가상화폐 지갑, 뱅킹 크리덴셜 등 가능한 많은 민감 정보를 수집해 운영자에게 이를 전송하도록 설계되어 있습니다.



<가짜 ProtonVPN 웹사이트>

<출처: https://securelist.com/azorult-spreads-as-a-fake-protonvpn-installer/96261/>



가짜 ProtonVPN 인스톨러로 확산되는 AZORult


카스퍼스키 연구원들에 따르면, 악성 가짜 ProtonVPN 인스톨러를 배포하는데 사용된 웹사이트인 protonvpn[.]store는 2019년 11월 러시아의 등록 기관을 통해 등록되었습니다.


이는 동일 캠페인이 제휴 배너 네트워크의 악성 광고를 통해 AZORult 악성 페이로드를 배포하기 시작한 때와 일치합니다.


카스퍼스키 연구원인 Dmitry Bestuzhev는 “피해자가 가짜 웹사이트를 방문해 윈도우용 가짜 ProtonVPN 인스톨러를 다운로드 하면, AZORult 봇넷 임플란트의 복사본을 받게 됩니다.”라 설명했습니다.


이 캠페인의 운영자는 오픈소스 HTTrack 웹 크롤러와 웹사이트 다운로더 유틸리티를 통해 공식 ProtonVPN 웹사이트와 거의 동일한 가짜 웹사이트를 만들었습니다.



<AZORult 악성코드 샘플 분석>

<출처: https://securelist.com/azorult-spreads-as-a-fake-protonvpn-installer/96261/>



가짜 ProtonVPN 인스톨러인 ProtonVPN_win_v1.10.0[.]exe는 실행된 후 타깃 컴퓨터를 감염시키는데 성공하면 시스템 정보를 수집한 후 가짜 사이트와 동일한 서버에 위치한 C&C 서버인 accounts[.]protonvpn[.]store로 보냅니다.


이후 AZORult 트로이목마는 로컬에서 사용 가능한 지갑에서 가상화폐를 훔치고, FileZilla의 FTP 로그인 정보, 이메일 크리덴셜, 로컬 브라우저의 쿠키 및 정보, WinSCP / Pidgin 메신저 크리덴셜 등을 훔치려 시도합니다.


훔친 모든 정보는 압축되어 공격자에게 전송됩니다.


이 악성코드에 대한 더욱 자세한 정보는 카스퍼스키의 보고서에서 확인하실 수 있습니다.





출처 : 

https://www.bleepingcomputer.com/news/security/azorult-malware-infects-victims-via-fake-protonvpn-installer/

https://securelist.com/azorult-spreads-as-a-fake-protonvpn-installer/96261/



  1. 포우_ 2020.02.19 18:25 신고  수정/삭제  댓글쓰기

    좋은 정보 잘 얻고 갑니다. 좋은 하루 되세요!

티스토리 방명록 작성
name password homepage