ElTest 멀웨어 캠페인 전략 변경, 게이트 사용 및 난독화 중단해

ElTest 멀웨어 캠페인 전략 변경, 게이트 사용 및 난독화 중단 해

ElTest malware campaign changes tactics, scraps use of gates and obfuscation

해외 보안 연구팀의 따르면, 해킹된 웹사이트들을 통해 사용자를 감염시키는 ElTest 멀웨어 캠페인이 익스플로잇 키트 게이트 사용 및 난독화가 중단되었습니다.

최근 ElTest 분석을 통해, 해당 악성코드 캠페인이 합법적인 사이트를 해킹하는데 사용한 악성 스크립트가 사용자들을 게이트를 통해 라우팅 시키지 않고, 익스플로잇 키트 랜딩페이지로 곧장 리다이렉션 시키는 것을 확인했습니다. 일반적으로 익스플로잇 키트를 배포하는 사이트들은 들어오는 트래픽을 조사하고 어떤 행위를 할지 결정하기 위해 게이트를 사용합니다. 

ElTest의 이러한 공격방식의 변경은 해외의 팔로알토 네트웍스가 공개한 블로그 포스트 때문인것일 수도 있다는 의견이 있습니다. 

뿐만 아니라, ElTest는 10월 15일부터 악성 스크립트 안에 내장 된 익스플로잇 키트 랜딩페이지 URL 난독화도 중단했습니다. ElTest는 다양한 버전의 Rig Exploit Kit를 사용해 악성코드를 유포합니다.

ElTest의 가장 흥미로운 점은 매우 오랜 활동기간입니다. 익스플로잇 키트계가 변화중에 있는 지금, ElTest의 오랜 활동기간은 범죄자들의 수익성 있는 벤쳐로 남을 것이라는 추측도 가능하게 합니다. 

보안 전문가들은 2014년부터 이 캠페인을 추적하고 있습니다. 

출처 : 

https://threatpost.com/wordpress-4-7-1-fixes-csrf-xss-phpmailer-vulnerabilities/123043/

https://wordpress.org/news/2017/01/wordpress-4-7-1-security-and-maintenance-release/