백도어와 악성 크롬 확장 프로그램을 유포하는 새로운 악성 광고 캠페인 발견

New Malvertising Campaigns Spreading Backdoors, Malicious Chrome Extensions

 

악성 캠페인 다수에서 Viber, WeChat, NoxPlayer, Battlefield를 포함한 인기 있는 앱 및 게임의 가짜 인스톨러를 통해 사용자의 시스템에서 크리덴셜 및 데이터를 훔치고 원격 연결을 유지하려 시도하고 있는 것으로 나타났습니다. 이들은 사용자가 새로운 백도어와 악성 구글 크롬 확장 프로그램을 다운로드하도록 속였습니다.

 

Cisco Talos는 해당 악성코드 페이로드가 신원이 밝혀지지 않은 "magnat"라는 닉네임을 사용하는 공격자의 작업이라 밝히며 "작성자는 이 두 패밀리를 지속적으로 개발 및 개선했다”고 밝혔습니다.

 

이 공격은 2018년 말에 시작되어 2019년 말, 2020년 초까지 간헐적인 활동이 발견된 후 2021년 4월 이후 갑자기 급증했습니다. 또한 주로 캐나다, 미국, 호주, 이탈리아, 스페인, 노르웨이의 사용자를 노렸습니다.

 

이 공격의 특이한 점은 검색 엔진을 통해 인기 있는 소프트웨어를 찾는 사용자를 공격하기 위해 악성 광고를 사용한다는 점입니다.

 

이들은 사용자에게 비밀번호 스틸러인 RedLine Stealer를 드롭하는 크롬 확장 프로그램인 “MagnatExtension”을 다운로드하는 링크를 제공했습니다. 해당 프로그램은 사용자의 키 입력을 기록하고, 스크린샷을 찍고, 원격 접속을 설정하는 AutoIt 기반 백도어를 드롭합니다.

 

 

<이미지 출처 : https://blog.talosintelligence.com/2021/12/magnat-campaigns-use-malvertising-to.html>

 

 

구글의 세이프 브라우징 기능으로 위장하는 MagnatExtension은 양식 데이터를 훔치고, 쿠키를 수집하고, 임의 JavaScript 코드를 실행하는 기능 등을 포함하고 있습니다. Talos가 분석한 원격 측정 데이터에 따르면, 브라우저 애드온의 첫 번째 샘플은 2018년 8월에 발견되었습니다.

 

이 확장 프로그램의 C2(명령 및 제어) 통신도 특이합니다. C2 주소는 하드 코딩되어 있지만, 추가 C2 도메인 목록을 사용하여 현재 C2를 통해 업데이트할 수도 있습니다. 하지만 실패할 경우 트위터에서 "#aquamamba2019", "#ololo2019"해시태그를 검색해 새 C2 주소를 얻어옵니다.

 

이후 다음 도메인 이름은 트위터의 텍스트에서 각 단어의 첫 글자를 연결하여 구성됩니다.

 

예를 들면, "#aquamamba2019"라는 태그를 포함하고 "Squishy turbulent areas terminate active round engines after dank years. Industrial creepy units"라는 메시지를 포함한 트윗은 "stataready[.]icu"로 번역됩니다.

 

C2 서버가 활성화 되면 브라우저 기록, 쿠키, 양식 데이터, 키 입력, 스크린샷 등과 같은 데이터를 수집하여 HTTP POST 요청의 body를 통해 암호화된 JSON 문자열 형태로 유출됩니다. 암호화 키는 복호화 함수에 하드코딩 되어있습니다. 해당 암호화 키는 서버의 공개 키로 암호화됩니다.

 

 

<이미지 출처 : https://blog.talosintelligence.com/2021/12/magnat-campaigns-use-malvertising-to.html>

 

 

“RDP를 배포하는 동기는 명확히 알 수 없었습니다. 가장 가능성이 높아 보이는 것은 RDP 접속 권한 판매, IP 주소를 기반으로 한 온라인 서비스 보안 기능 또는 기타 엔드포인트 설치 툴을 우회하기 위한 RDP 사용,, 시스템 추가 악용을 위한 RDP 사용 등입니다.”

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’Gen:Variant.Graftor.674964’로 탐지 중입니다.

 

 

 

출처:

https://thehackernews.com/2021/12/new-malvertising-campaigns-spreading.html

https://blog.talosintelligence.com/2021/12/magnat-campaigns-use-malvertising-to.html