위협 데이터베이스 멀웨어 OXLOADER 악성 소프트웨어

OXLOADER 악성 소프트웨어

사이버 보안 연구원들은 정보 탈취 악성코드인 CastleStealer를 배포하기 위해 이전에 알려지지 않은 OXLOADER라는 악성코드 로더를 사용하는 새로운 악성코드 캠페인(REF8372)을 발견했습니다.

이 공격은 인기 소프트웨어를 검색하는 피해자를 유인하기 위해 설계된 악성 구글 광고로 시작됩니다. 분석 결과, 이 캠페인의 배후에는 러시아어를 사용하는 공격자들이 있으며 금전적 이득을 목적으로 하는 것으로 추정됩니다. 이러한 평가는 해당 악성코드가 독립국가연합(CIS) 내 시스템을 의도적으로 제외했다는 점에 근거합니다. 이는 해당 지역에서 활동하는 사이버 범죄 조직들이 흔히 사용하는 전술입니다.

해당 캠페인의 광고는 'ВОЛОДИМИР ТЕРЕЩЕНКО'라는 검증된 이름으로 게시되었으며, 이 계정은 우크라이나에 기반을 둔 것으로 알려졌지만, 해당 계정이 운영자 본인의 것인지 아니면 해킹, 구매 또는 위조된 계정인지 여부는 불분명합니다. 구글은 2026년 5월 14일에 해당 광고주 계정과 관련 캠페인을 삭제했습니다.

검색 엔진 조작으로 피해자들이 가짜 소프트웨어 사이트로 유도됨

감염 경로는 사용자가 구글과 같은 검색 엔진에서 'node.js의 LTS 버전'과 같은 용어를 검색할 때 시작됩니다. 피해자는 스폰서 검색 결과를 통해 합법적인 소프트웨어 리소스로 위장한 가짜 웹사이트인 node-js.prentiva99.info로 리디렉션됩니다.

사기성 웹사이트와 상호 작용하는 사용자는 분산형 오픈소스 클라우드 스토리지 플랫폼인 Storj에 호스팅된 배치 스크립트를 다운로드하라는 메시지를 받게 됩니다. Storj와 같은 합법적인 서비스를 악용하는 이러한 사례는 위협 행위자들이 도메인 평판 및 보안 필터링 메커니즘을 우회하기 위해 신뢰받는 플랫폼에 점점 더 의존하는 추세를 보여줍니다.

다단계 감염 사슬은 악성 활동을 은폐합니다

다운로드한 배치 파일을 실행하면 가짜 설치 마법사가 표시되어 합법적인 소프트웨어 설치처럼 보이지만, 실제로는 Storj에서 다음 단계의 악성 프로그램인 OXLOADER를 몰래 다운로드합니다. 이 악성 프로그램은 PowerShell 명령어를 통해 다운로드되어 `-Verb RunAs` 매개변수와 함께 실행되며, Windows 사용자 계정 컨트롤(UAC) 프롬프트를 생성합니다.

이후 공격자는 DLL 사이드 로딩 기법을 사용하여 악성 동적 링크 라이브러리를 실행하고, 이 라이브러리가 최종 페이로드인 CastleStealer를 복호화하고 실행합니다.

고도화된 회피 기술로 탐지 난이도 증가

OXLOADER는 분석을 방해하고 탐지를 회피하기 위해 특별히 고안된 여러 정교한 기술을 통합하고 있습니다.

  • 제어 흐름 평탄화, 불투명한 술어, 혼합 부울-산술 기법을 포함한 여러 단계의 난독화 기법.
  • 자체 수정 복호화 루틴, 셸코드 스테이징을 위한 Windows .reloc 섹션 악용, 가상화된 분석 환경에서의 실행을 방지하는 안티 샌드박스 메커니즘.
  • 이러한 기능은 정적 및 동적 감지 메커니즘을 모두 피하기 위한 의도적이고 정교하게 설계된 접근 방식을 보여줍니다.

    캐슬스티러, 사이버 범죄 작전에서 영향력 확대

    CastleStealer는 최근 추가 공격 캠페인에 등장한 .NET 기반 정보 탈취 악성코드 계열입니다. 이전에는 BackgroundFix라는 작전에서 무료 이미지 편집 애플리케이션으로 위장한 ClickFix 방식의 소셜 엔지니어링 수법을 통해 CastleLoader와 함께 유포되었습니다. CastleLoader는 GrayBravo로 추적되는 위협 활동 클러스터와 연관되어 있습니다.

    초기 단계의 위협이지만 상당한 잠재력을 지니고 있습니다.

    OXLOADER는 아직 실전 배치 초기 단계에 있는 것으로 보이지만, 그 기술적 정교함은 방어측의 면밀한 관심을 받을 만합니다. 몇 가지 특징은 개발자들이 상당한 투자를 했음을 시사합니다.

    • 광범위한 코드 난독화 및 가상 머신 방지 기능.
    • 악성 바이너리를 위장하기 위해 무해해 보이는 코드를 사용하고, 독특한 페이로드 준비 기법을 활용합니다.

    이러한 설계 선택은 이미 효과가 입증되어 OXLOADER가 정적 스캐닝 엔진 및 자동 실행 환경 전반에서 낮은 탐지율을 달성할 수 있도록 했습니다. 결과적으로, 이 악성코드는 광범위한 탐지 시그니처와 대응책이 개발되기 전까지 귀중한 운영 기간을 확보하고 있습니다.

    가장 많이 본

    로드 중...