가짜 “코로나 안티바이러스”, BlackNET 원격 관리 툴 배포

Fake “Corona Antivirus” distributes BlackNET remote administration tool

악성코드 제작자들이 본격적으로 코로나바이러스 이슈를 악용하고 있습니다. 

사용자가 다양한 악성코드를 설치하도록 유도하기 위해 코로나19 이슈를 악용한 많은 스팸 캠페인이 발견되고 있으며, 그 중 데이터 탈취 악성코드가 많이 발견되고 있습니다. 

또한 코로나바이러스로 인해 재택근무자들이 늘어나면서, 집에서 회사 네트워크에 연결하는 경우도 많아지고 있습니다. 이에 컴퓨터 보안이 점점 더 중요해지고 있습니다. 하지만 만약 보안 프로그램이 코로나 바이러스 이슈에 대해 언급하는 경우, 가짜 보안 프로그램일 가능성이 높아 각별한 주의가 필요합니다. 

코로나 안티바이러스: 100% 가짜 프로그램

최근 “코로나 안티바이러스 – 세계 최고의 보호”라 광고하는 사기성 웹사이트인 antivirus-covid19[.]site가 발견되었습니다. 

사기꾼들은 실제 코로나19 바이러스를 예방해준다며 디지털 안티바이러스 프로그램을 설치하라고 속이고 있었습니다.

사이트에는 아래 문구 또한 포함되어 있었습니다.:

하버드 대학교를 졸업한 우리 과학자들은 윈도우 애플리케이션을 사용하여 바이러스와 싸우기 위한 특수 AI 개발을 위해 노력하고 있습니다. 이 애플리케이션이 실행 중일 경우 당신의 PC가 당신을 코로나 바이러스로부터 보호할 것입니다.

이 애플리케이션을 설치한 피해자들은 BlackNet RAT에 추가되며 컴퓨터는 악성코드에 감염됩니다. 상용 패커인 Themida로 패킹된 이 파일은 피해자의 PC를 명령을 기다리는 봇으로 만듭니다.:

hxxps[://]instaboom-hello[.]site//connection[.]php?data=[removed]

hxxps[://]instaboom-hello[.]site//getCommand[.]php?[removed]

hxxps[://]instaboom-hello[.]site//receive[.]php?command=[removed]

instaboom-hello[.]site에 호스팅되는 C&C 서버는 BlackNET 봇넷의 제어판을 볼 수 있었습니다.

이 툴킷의 전체 소스코드는 한 달 전 GitHub에 게시되었습니다. 이 툴킷의 기능 중 일부는 아래와 같습니다.:

DDOS 공격 실행

스크린샷 촬영

파이어폭스 쿠키 탈취

저장된 패스워드 탈취

키로거 설치

스크립트 실행

비트코인 지갑 탈취

코로나19가 전 세계적으로 전파되고 있는 지금은 집에서도 온라인에서도 안전을 유지하는 것이 중요한 시기입니다. 지난 몇 주간 많은 관련 사기 사건이 발생해 범죄자들은 아무리 끔찍한 상황에서도 이를 악용한 범죄를 저지른다는 사실을 알 수 있습니다.

컴퓨터를 최신 상태로 유지하고 새로운 프로그램을 다운로드할 때 각별한 주의를 기울이는것이 좋으며, 설령 친구가 보낸 메시지일 경우에도 주의가 필요합니다. 

출처 : 

https://blog.malwarebytes.com/threat-analysis/2020/03/fake-corona-antivirus-distributes-blacknet-remote-administration-tool/