배드스페이스 백도어
정품이지만 손상된 웹사이트를 악용하여 가짜 브라우저 업데이트로 위장한 BadSpace라는 Windows 백도어를 배포하고 있습니다. 공격자의 전략에는 감염된 웹사이트, 명령 및 제어(C2) 서버, 때로는 사기성 브라우저 업데이트, 마지막으로 피해자 시스템에 백도어를 심는 JScript 다운로더 등 여러 단계가 포함됩니다.
목차
사이버 범죄자들은 손상된 사이트를 악용하여 BadSpace 백도어를 확산시킵니다.
이 프로세스는 손상된 코드가 삽입된 WordPress를 사용하는 웹사이트를 포함할 수 있는 손상된 웹사이트에서 시작됩니다. 이 코드에는 방문자가 이전에 사이트에 액세스했는지 여부를 확인하는 논리가 포함되어 있습니다. 처음 방문할 때 코드는 장치, IP 주소, 사용자 에이전트 및 위치에 대한 데이터를 수집하여 HTTP GET 요청을 통해 미리 정의된 도메인으로 보냅니다.
이에 대한 응답으로 서버는 웹 페이지에 가짜 Google Chrome 업데이트 프롬프트를 오버레이합니다. 이 프롬프트는 맬웨어를 직접 전달하거나 JavaScript 다운로더를 통해 전달하는 수단으로 사용되며 이후 BadSpace를 다운로드하고 시작합니다.
BadSpace 백도어는 광범위한 침입 작업을 수행할 수 있습니다.
BadSpace는 안티 샌드박스 검사를 수행하고 예약된 작업을 통해 지속성을 구축할 뿐만 아니라 시스템 데이터도 수집합니다. 스크린샷 찍기, cmd.exe를 통한 명령 실행, 파일 조작, 예약된 작업 삭제 등 다양한 명령을 실행할 수 있습니다.
공격에 사용된 C2(Command-and-Control) 서버를 조사한 결과 SocGholish (FakeUpdates라고도 함)라는 알려진 악성 코드에 대한 링크가 밝혀졌습니다. SocGholish는 유사한 방법을 통해 배포되는 JavaScript 기반 다운로더 악성코드입니다.
보안 연구원들은 손상된 웹사이트에서 가짜 브라우저 업데이트 전술을 활용하는 캠페인이 증가하는 것에 대해 개인과 조직 모두에게 경고했습니다. 이러한 캠페인의 목표는 정보 도용자 및 원격 액세스 트로이 목마(RAT)를 배포하는 것입니다.
백도어 위협은 피해자에게 심각한 결과를 초래할 수 있습니다.
백도어 맬웨어 위협은 피해자에게 심각한 위험을 초래하고 심각한 결과를 초래할 수 있습니다.
- 데이터 도난 : 백도어는 비밀번호, 금융 데이터, 개인 문서 및 지적 재산과 같은 민감한 정보를 자동으로 수집할 수 있습니다. 이렇게 수집된 데이터는 신원 도용, 금융 사기, 기업 스파이 등 다양한 유해한 목적으로 사용될 수 있습니다.
요약하면, 백도어 맬웨어 위협은 심각하고 광범위한 결과를 초래할 수 있으며 피해자의 디지털 자산뿐만 아니라 재정적 안정성, 개인 정보 보호 및 평판에도 영향을 미칠 수 있습니다.
