일본을 대상으로 한 새로운 사회 공학 기반 악성 광고 캠페인이 감염된 Windows 시스템에 뱅킹 트로이 목마를 배포하여 암호화폐 계정과 관련된 자격 증명을 훔치는 악성 애플리케이션을 전달하는 것으로 밝혀졌습니다.
지난 주 발표된 분석에서 Trend Micro 연구원 Jaromir Horejsi와 Joseph C Chen은 이 앱이 애니메이션 포르노 게임, 보상 포인트 앱 또는 비디오 스트리밍 앱으로 가장했으며 Water Kappa가 위협 행위자라고 추적한 작업에 기인한다고 밝혔습니다. 이는 이전에 Internet Explorer 브라우저의 취약점을 악용하여 일본 온라인 뱅킹 사용자에게 Cinobi 트로이 목마를 전달하는 것으로 발견되었습니다.
스택 오버플로 팀
연구원들은 전술의 변화로 인해 공격자들이 Internet Explorer 이외의 웹 브라우저 사용자를 골라내고 있음을 시사한다고 덧붙였습니다.
Water Kappa의 최신 감염 루틴은 일본 애니메이션 포르노 게임, 보너스 포인트 앱 또는 비디오 스트리밍 서비스에 대한 악성 광고로 시작됩니다. 랜딩 페이지에서는 피해자에게 앱을 다운로드하도록 촉구합니다. 이 앱은 이전 버전의 "Logitech Capture" 파일이 포함된 ZIP 아카이브입니다. File” 애플리케이션은 2018년부터 사용되었지만 Cinobi 뱅킹 트로이목마의 실행을 유발하는 쉘코드를 해독하고 실행하도록 조정된 수정된 파일도 있습니다.
기업 비밀번호 관리
트로이 목마는 일본 이외의 IP 주소에서 악성 광고 포털에 액세스하는 지오펜싱 외에도 11개의 일본 금융 기관에서 사용자 이름과 비밀번호를 훔치도록 설계되었으며 그 중 3개는 암호화폐 거래에 참여했습니다. 사용자가 대상 웹사이트 중 하나를 방문하면 Cinobi의 양식 스크래핑 모듈이 활성화되어 로그인 화면에 채워진 정보를 캡처합니다.
연구원들은 "새로운 악성 광고 캠페인은 Water Kappa가 여전히 활동하고 있으며 더 큰 금전적 이익을 위해 도구와 기술을 발전시키고 있음을 보여줍니다. 이 캠페인은 암호화폐를 훔치는 것도 목표로 합니다."라고 연구원은 말했습니다. "감염 가능성을 최소화하려면 사용자는 다음과 같은 조치를 취해야 합니다. 의심스러운 웹사이트의 의심스러운 광고를 조심하고 가능하면 신뢰할 수 있는 소스에서만 앱을 다운로드하세요."
최고 보안 책임자의 원본 기사, 복제할 경우 출처 표시: https://cncso.com/kr/암호-화폐-사용자를-공격하는-시노비-뱅킹-트로이-목