ZLoader 악성코드, 가짜 자바 업데이트로 성인 사이트 사용자들 노려

Adult site users targeted with ZLoader malware via fake Java update

 

올해 초부터 시작되어 현재까지 진행 중인 악성코드 캠페인이 최근 전략을 변경했습니다. 이들은 익스플로잇 키트를 더 이상 사용하지 않고 성인 콘텐츠 소비자들을 타깃으로 소셜 엔지니어링 기법을 사용하기 시작했습니다.

 

운영자는 오래된 트릭을 사용하여 ZLoader의 변종을 배포합니다.

 

ZLoader는 뱅킹 트로이 목마로 2년 동안 활동을 중지했다가 올해 다시 활동을 시작했으며, 이제는 인포스틸러의 역할까지 하는 것으로 나타났습니다.

 

Malsmoke라 명명된 이 캠페인은 트래픽이 많은 성인 사이트를 노립니다. xHamster와 같은 일부 웹사이트는 월 방문자가 수억 명에 달합니다. 또 다른 사이트는 Brabo Porn Tube로 매달 8백만 명이 넘는 사용자가 방문합니다.

 

Malwarebytes는 Fallout 익스플로잇 키트를 통해 Smoke Loader를 배포하는 Malsmoke 캠페인을 지난 10월 18일까지 일년 내내 모니터링했습니다.

 

하지만 운영자는 포기하지 않았습니다. 이들은 모든 웹 브라우저에서 동작하는 새로운 기술을 사용하기 시작했습니다.

 

새로운 악성 캠페인은 “영상인 것으로 위장한 성인 콘텐츠 관련 이미지로 채워진 미끼 페이지”를 사용합니다.

 

이들은 성인 웹사이트에 가짜 영상을 게시해 방문자가 이를 재생하도록 유인했습니다. 악성 파일은 새로운 브라우저 창에서 오픈되며, 피해자는 이미지 대신 픽셀화된 화면을 보게되며 몇 초 간의 오디오가 재생됩니다.

 

몇 초 후 피해자는 영상을 정상적으로 재생하기 위해서 자바 플러그인을 설치해야 한다는 오버레이 메시지를 보게 됩니다.

 

 

 

<이미지 출처: https://blog.malwarebytes.com/threat-analysis/2020/11/malsmoke-operators-abandon-exploit-kits-in-favor-of-social-engineering-scheme/>

 

 

이는 미디어 데이터 스트림이 다양한 코덱(압축-해제 소프트웨어)로 인코딩되는 것이 일반적이었든 옛날에 사용되던 트릭입니다. 이전에는 올바른 코덱이 설치되어 있지 않을 경우 영상을 재생할 수 없었습니다.

 

그 당시에는 수 많은 가짜 코덱과 미디어 플레이어가 존재했으며, 이 중 다수는 악성이었습니다. 이 방법을 통해 애드웨어와 악성코드가 배포되었습니다.

 

Malsmoke 운영자는 특정 소프트웨어가 없는 것처럼 보이도록 화질이 낮은 영상을 만들었습니다.

 

연구원들은 네트워크 지표를 분석하고, 두 캠페인 모두 미끼 웹사이트에서 동일한 템플릿을 사용하는 것을 발견한 후 예전 Malsmoke 캠페인과 새로운 캠페인이 관계가 있다고 결론지었습니다.

 

또한 범죄자들은 이전 캠페인의 다른 도메인에서 사용한 이메일 주소를 이용하여 새로운 캠페인에 사용할 도메인을 등록했습니다.

 

 

<이미지 출처: https://blog.malwarebytes.com/threat-analysis/2020/11/malsmoke-operators-abandon-exploit-kits-in-favor-of-social-engineering-scheme/>

 

 

연구원이 페이로드를 분석할 때 가짜 자바 업데이트가 합법적인 라이브러리와 실행파일을 포함한 서명된 인스톨러라는 사실을 발견했습니다.

 

이 중 하나인 HelperDll.dl는 ZLoader의(Zbot, Zeus Sphinx, Terdot, DELoader으로도 알려짐) 암호화된 변종을 다운로드하여 최종 페이로드로 배포했습니다.

 

 

<이미지 출처: https://blog.malwarebytes.com/threat-analysis/2020/11/malsmoke-operators-abandon-exploit-kits-in-favor-of-social-engineering-scheme/>

 

 

이 악성코드는 2018년 초에는 활동하지 않았지만, 2019년 12월 이후 6개월 만에 부활하여 이메일 캠페인 100건 이상을 진행했습니다. 이는 일부 고급 기능이 제외된 예전 버전의 파생 버전일 가능성이 높습니다.

 

ZLoader의 최신 변종은 예전의 주요 기능을 그대로 가지고 있으며, 브라우저에 저장된 자격 증명, 은행 정보, 민감 정보(쿠키, 패스워드)를 훔치기 위해 웹 인젝션을 사용합니다.

 

Malsmoke 운영자는 이 전략으로 전환함으로써 잠재적 피해자를 수백만 명으로 확장시켰습니다. 익스플로잇 키트를 통한 해킹에는 인터넷 익스플로러가 필요하기 때문에, 이러한 변화는 크나큰 도약으로 볼 수 있습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’Trojan.GenericKD.44370677’로 탐지 중입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/adult-site-users-targeted-with-zloader-malware-via-fake-java-update/

https://blog.malwarebytes.com/threat-analysis/2020/11/malsmoke-operators-abandon-exploit-kits-in-favor-of-social-engineering-scheme/