가짜 Zoom 인스톨러, 악성코드 배포해

PSA: Fake Zoom installers being used to distribute malware

공격자들이 악성코드와 애드웨어 애플리케이션을 함께 설치하는 인스톨러를 배포하기 위해 Zoom 화상 회의 서비스의 인기를 악용하고 있는 것으로 나타났습니다.

사람들이 실내에서 더 많은 시간을 보내고 물리적/사회적 거리두기를 실행함에 따라 재택 근무를 위한 화상 회의, 운동 수업, 화상을 통한 모임을 위해 Zoom을 사용하기 시작했습니다.

이를 노린 공격자들은 코인 마이너, 원격 액세스 트로이목마, 애드웨어를 번들로 포함한 Zoom 클라이언트 인스톨러를 배포하기 시작했습니다.

트렌드마이크로는 피해자의 컴퓨터에 가상화폐 채굴기를 설치하는 Zoom 인스톨러가 현재 배포중이라 보고했습니다.

“합법적인 화상 컨퍼런스 앱인 Zoom의 설치 프로그램이 코인마이너와 함께 번들로 배포되고 있는 것을 발견했습니다. 이 소프트웨어를 설치하려는 사용자는 원치 않게 악성 파일을 다운로드 하는 결과를 낳을 수 있습니다. 이 해킹된 파일은 Zoom의 공식 다운로드 센터가 아닌 사기성 웹사이트를 통해 배포되는 것으로 보입니다. Zoom에 이와 같은 사실을 전달하여 유저들에 적절히 대응하도록 했습니다.”

이 악성코드를 설치할 경우 사용자의 GPU와 CPU를 활용해 모네로 가상화폐를 채굴하려 시도합니다. 이로써 사용자의 컴퓨터가 느려지고 과열되며 하드웨어에 손상을 초래할 수 있습니다.

BleepingComputer가 발견한 또 다른 Zoom 클라이언트 인스톨러는 원치 않는 소프트웨어 번들 또는 원격 액세스 트로이목마를 배포하고 있었습니다.

예를 들어, 아래 Zoom 인스톨러는 Zoom 클라이언트와 함께 애드웨어를 설치합니다.

<이미지 출처 : https://www.bleepingcomputer.com/news/security/psa-fake-zoom-installers-being-used-to-distribute-malware/>

또 다른 악성 Zoom 인스톨러는 njRAT 또는 Bladabindi로 알려진 원격 액세스 트로이목마를 설치합니다. 공격자는 이를 통해 감염된 컴퓨터에 대한 전체 액세스 권한을 얻을 수 있게 됩니다.

이후 데이터를 훔치고, 웹캠 화면을 스크린샷 하고, 다른 악성코드를 다운로드 및 설치하는 명령을 실행할 수 있습니다.

이러한 악성 코드 대부분은 Zoom 클라이언트를 함께 설치하기 때문에, 사용자는 다른 악성 프로그램이 컴퓨터에 설치되어 있는지 확인하기 어렵습니다.

이와 같은 상황을 방지하게 위해서는 항상 공식 Zoom 다운로드 섹션이나 Zoom.us 사이트의 화상 회의 초대 메시지를 통해서만 클라이언트를 다운로드 하시기 바랍니다.

이 외 다른 위치에서 클라이언트를 다운로드 할 경우 감염될 가능성이 높으니 주의하시기 바랍니다.

현재 알약에서는 해당 악성코드에 대해 Trojan.Dropper.Autoit, Trojan.Agent.Miner로 탐지중에 있습니다. 

출처 :

https://www.bleepingcomputer.com/news/security/psa-fake-zoom-installers-being-used-to-distribute-malware/

https://blog.trendmicro.com/trendlabs-security-intelligence/zoomed-in-a-look-into-a-coinminer-bundled-with-zoom-installer/