사이버보안 연구원들은 DanaBot, StealC와 같은 맬웨어를 배포하기 위해 합법적인 브랜드를 사칭하는 정교한 정보 도용 캠페인을 밝혀냈습니다.
러시아어를 구사하는 사이버 범죄자들이 조직하고 ‘투스크(Tusk)’라는 코드명을 붙인 이 활동 클러스터는 여러 개의 하위 캠페인을 포함하고 있다고 하며, 플랫폼의 평판을 활용하여 사용자를 속여 가짜 사이트와 소셜 미디어 계정을 통해 맬웨어를 다운로드하도록 하는 것으로 알려졌습니다.
“모든 활성 하위 캠페인은 Dropbox에서 초기 다운로더를 호스팅합니다.” 카스퍼스키 연구원 Elsayed Elrefaei와 AbdulRhman Alfaifi가 말했습니다. “이 다운로더는 피해자의 컴퓨터에 추가 맬웨어 샘플을 제공하는 역할을 하는데, 이는 대부분 정보 도용자(DanaBot 및 StealC)와 클리퍼입니다.”
지금까지 확인된 19개 하위 캠페인 중 3개가 현재 활동 중인 것으로 알려졌습니다. “Tusk”라는 이름은 위협 행위자가 초기 다운로더와 관련된 로그 메시지에서 사용한 “Mammoth”라는 단어를 참조한 것입니다. mammoth는 러시아 전자 범죄 그룹에서 피해자를 지칭하는 데 자주 사용하는 속어라는 점에 주목할 가치가 있습니다.
이러한 캠페인은 피싱 전술을 사용하여 피해자를 속여 개인 및 금융 정보를 제공하게 한 다음, 이 정보를 다크 웹에서 판매하거나 게임 계정과 암호화폐 지갑에 무단으로 액세스하는 데 사용하는 것으로 유명합니다.
세 가지 하위 캠페인 중 첫 번째인 TidyMe는 peerme(.)io를 모방하여 tidyme(.)io(tidymeapp(.)io 및 tidyme(.)app도 마찬가지)에 호스팅된 유사 사이트를 통해 Windows와 macOS 시스템 모두에서 악성 프로그램을 다운로드하기 위한 클릭을 요청합니다. 실행 파일은 Dropbox에서 제공됩니다.
다운로더는 Electron 애플리케이션으로, 실행 시 피해자에게 표시된 CAPTCHA를 입력하라는 메시지를 표시하고, 입력하면 주요 애플리케이션 인터페이스가 표시되고, 두 개의 추가 악성 파일이 은밀하게 가져와 백그라운드에서 실행됩니다.
캠페인에서 관찰된 두 가지 페이로드는 모두 Hijack Loader 아티팩트로, 궁극적으로 광범위한 정보를 수집할 수 있는 StealC 스틸러 맬웨어의 변종을 실행합니다.
두 번째 하위 캠페인인 RuneOnlineWorld(“runeonlineworld(.)io”)는 Rise Online World라는 대규모 다중 사용자 온라인(MMO) 게임을 시뮬레이션하는 가짜 웹사이트를 이용해 손상된 호스트에서 DanaBot과 StealC가 침입할 수 있는 유사한 다운로더를 배포합니다.
또한 이 캠페인을 통해 Hijack Loader를 통해 배포되는 것은 Go 기반 클리퍼 맬웨어로, 클립보드 내용을 모니터링하고 피해자가 복사한 지갑 주소를 공격자가 제어하는 비트코인 지갑으로 대체하여 사기 거래를 수행하도록 설계되었습니다.
활성적인 캠페인의 마지막은 Voico입니다. 이는 YOUS(yous(.)ai)라는 AI 번역 프로젝트를 가장하고 voico(.)io라는 악의적인 대응 프로그램을 사용하여 설치 시 피해자에게 자격 증명이 포함된 등록 양식을 작성하도록 요청한 다음 해당 정보를 콘솔에 기록하는 초기 다운로더를 배포합니다.
최종 페이로드는 두 번째 하위 캠페인과 유사한 동작을 보이며, 유일한 차이점은 이 경우 사용된 StealC 맬웨어가 다른 명령 및 제어(C2) 서버와 통신한다는 것입니다.
연구자들은 “이 캠페인은 (…) 피해자를 속이기 위해 합법적인 프로젝트를 모방하는 데 능숙한 사이버 범죄자들이 지속적이고 진화하는 위협을 보여줍니다.”라고 말했습니다. “피싱과 같은 사회 공학 기술에 대한 의존성과 다단계 맬웨어 전달 메커니즘이 결합되어 관련 위협 행위자의 고급 역량을 강조합니다.”
“이러한 공격자는 잘 알려진 플랫폼에 대한 사용자의 신뢰를 악용하여 민감한 정보를 훔치고 시스템을 손상시키고 궁극적으로 재정적 이익을 얻기 위해 설계된 다양한 맬웨어를 효과적으로 배포합니다.”