상세 컨텐츠
본문
Google: YouTubers’ accounts hijacked with cookie-stealing malware
구글이 금전적 이득을 노리는 공격자가 비밀번호 탈취 악성코드를 사용하는 피싱 공격을 통해 유튜브 크리에이터를 노리고 있다고 경고했습니다.
2019년 말 이 캠페인을 처음 발견한 Google TAG(Threat Analysis Group)의 연구원들은 이 공격의 배후에 러시아어 포럼 내 구인 광고를 통해 모집된 여러 공격자가 있음을 발견했습니다.
공격자는 소셜 엔지니어링(가짜 소프트웨어 랜딩 페이지 및 소셜 미디어 계정) 및 피싱 이메일을 사용하여 공격자가 선택한 정보 탈취 악성코드로 유튜브 크리에이터를 감염시켰습니다.
Pass-the-cookie 공격에 하이재킹된 채널
이 공격에서 관찰된 악성코드에는 RedLine, Vidar, Predator The Thief, Nexus 스틸러, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad, Kantal 등 상용 변종과 Sorano, AdamantiumThief와 같은 오픈소스 변종이 포함됩니다.
이 악성코드는 타깃 시스템에 도달하면 크리덴셜과 브라우저 쿠키를 훔쳐 공격자가 pass-the-cookie 공격을 통해 피해자의 계정을 도용할 수 있도록 했습니다.
TAG의 보안 엔지니어인 Ashley Shen는 아래와 같이 밝혔습니다.
"이 기술은 수십 년 동안 사용되어 왔지만, 최근 보안 위협으로 떠오르는 이유는 다중 인증(MFA)이 널리 사용되어 공격 수행에 어려움을 겪어 공격자가 사회 공학적 전략에 집중하기 시작했기 때문일 수 있습니다. 관찰된 악성코드 중 대부분은 사용자 비밀번호와 쿠키를 모두 훔칠 수 있었습니다. 샘플 중 일부는 파일 확대, 아카이브 암호화, 다운로드 IP 클로킹을 포함한 여러 안티-샌드박싱 기술을 사용했습니다."
구글은 해당 공격에 연결된 도메인 최소 1,011개와 이 캠페인을 위해 특별히 생성된 공격자 계정 약 15,000개를 발견했습니다. 이는 악성코드가 포함된 링크를 담은 피싱 이메일을 유튜브 크리에이터의 비즈니스 이메일로 전달하는데 사용되었습니다.
언더그라운드 마켓에서 최대 $4,000에 판매돼
이러한 공격을 통해 하이재킹된 상당수의 유튜브 채널은 추후 유명 기술 경영진이나 가상화폐 교환 회사를 사칭하기 위해 브랜드를 변경 후 가상화폐 라이브 스트리밍 사기에 사용되었습니다.
다른 계정들은 언더그라운드 계정 거래 마켓에서 판매되었는데, 총 가입자 수에 따라 3~4,000달러로 가격이 책정됐습니다.
Shen은 구글의 위협 분석 그룹이 2021년 5월 이후 Gmail을 통해 실행된 위와 같은 공격과 연결된 피싱 이메일을 99.6% 차단했다고 덧붙였습니다.
"타깃을 노린 메시지 160만 건을 차단하고, 세이프 브라우징 피싱 페이지 경고를 62,000번 표시했으며, 파일 2400개 를 차단했으며, 계정 4000개를 성공적으로 복구했습니다. 이로 인해 공격자가 Gmail에서 다른 이메일 제공업체(주로 email.cz, seznam.cz, post.cz, aol.com)로 이동하는 것을 관찰했습니다."
구글은 또한 캠페인의 대상이 되는 유튜브 사용자 및 제작자를 보호하기 위한 추가 조사를 위해 이 공격에 대해 FBI에 제보했습니다.
출처:
'국내외 보안동향' 카테고리의 다른 글
| 인기있는 WinRAR 소프트웨어, 공격자가 컴퓨터를 해킹하도록 허용해 (0) | 2021.10.22 |
|---|---|
| Evil Corp, Macaw 랜섬웨어 공격 통해 4천만 달러 요구 (0) | 2021.10.22 |
| 새로운 PurpleFox 봇넷, C2 통신에 웹 소켓 사용 (0) | 2021.10.21 |
| 게임과 클라우드 서비스를 해킹 가능한 Squirrel Engine 취약점 발견 (0) | 2021.10.20 |
| BlackByte 랜섬웨어 복호화 툴 무료로 공개돼 (0) | 2021.10.20 |
댓글 영역